Los ataques de tipo clipper están a la orden del día y son cada vez más usados por los cibercriminales, según demuestran diversos estudios de compañías de seguridad. Básicamente, son un malware que se hace pasar por una herramienta o aplicación original y la sustituye para obtener acceso a unas credenciales que facilitan conseguir dinero.
En los últimos meses más de 15.000 personas de 53 países diferentes han sido víctimas de una amenaza de este tipo que se efectuaba sirviéndose de un navegador Tor falso. Este browser característico por su icono de una cebolla es uno de los más conocidos y usados para acceder a la dark web.
Al tratar de bajar Tor los usuarios, descargaban sin conocimiento un sitio falso que contenía un archivo .rar protegido con contraseña con el fin de que las antivirus no pudieran detectar el malware. Ya descargado, el archivo con clipper se 'colaba' en el arranque automático mimetizándose con el icono de una aplicación popular.
El malware quedaba así activado y trabajaba en la sombra para hacer que el pago de las transacciones con criptomonedas se hiciera en la cuenta del actor de amenazas y no en la del destinatario que quería el usuario. Para ello, simplemente sustituye la dirección de una billetera por otra. La compañía de seguridad Kaspersky es quien ha alertado de la estafa.
La mayoría de casos se han detectado en Rusia, país donde el navegador para acceder a la dark web está bloqueado y es necesario instalarlo a través de webs de terceros. No obstante, también se han producido casos en EE.UU., Alemania, Uzbekistán, Bielorrusia, China, Países Bajos, Reino Unido y Francia.
Kaspersky cuantifica las pérdidas por la estafa en al menos 400.000 dólares, que los ciberdelincuentes habrían obtenido tras llevar a cabo más de 15.000 ataques. Las transacciones se habrían realizado en divisas como Bitcoin, Ethereum, Monero, Dogecoin o Litecoin.
Discreto y peligroso
Vitaly Kamluk, responsable del equipo de investigación y análisis global de Kaspersky ha advertido de que el ataque es "muy difícil de detectar" e "implica un peligro mayor del que se pueda pensar".
Además, Kamluk también asegura que el malware puede permanecer instalado "en silencio" durante años hasta que hace efectiva la sustitución de la dirección de la billetera, lo que lo hace extremadamente peligroso.
Para evitar este tipo de estafas la empresa de origen ruso recuerda que es necesario mantener el software siempre actualizado y al día con los últimos parches y que es recomendable solo descargar herramientas de fuentes oficiales. Asimismo, invita a a prudencia con los archivos adjuntos.