ThreatFabric, una empresa de ciberseguridad con sede en Ámsterdam especializada en amenazas para la industria financiera, ha identificado el troyano "Cerberus" que roba los códigos de autenticación de 2 factores (2FA) generados por la aplicación Google Authenticator para banca por Internet, cuentas de correo electrónico e intercambios de criptomonedas.
El intercambio de criptomonedas con sede en EE. UU. Coinbase es una de las plata formas criptográficas que figuran en la lista exhaustiva de Cerberus objetivos
La firma de ciberseguridad señala que no ha identificado ningún anuncio en la oscuridad para las funciones actualizadas de Cerberus, lo que le hace creer que la versión actualizada "todavía está en la fase de prueba, pero podría lanzarse pronto".
Cerberus actualizado a principios de 2020
El informe de ThreatFabric indica que el "Cerberus" de troyano de acceso remoto (RAT) se identificó por primera vez a finales de junio, reemplazando al troyano Anubis y emergiendo como un importante producto de Malware como servicio.
El informe indica que Cerberus se actualizó a mediados de enero de 2020, con la nueva versión que presenta la capacidad de robar tokens 2FA de Google Authenticator, así como códigos PIN de bloqueo de pantalla del dispositivo y patrones de deslizamiento.
Una vez instalado, Cerberus puede descargar el contenido de un dispositivo y establecer conexiones que proporcionan al actor malicioso acceso remoto total sobre el dispositivo. La RAT se puede usar para operar cualquier aplicación en el dispositivo, incluidas las aplicaciones de intercambio de banco y criptomonedas.
"La función que permite el robo de las credenciales de bloqueo de pantalla del dispositivo (PIN y patrón de bloqueo) funciona con una superposición simple que requerirá que la víctima desbloquee el dispositivo. A partir de la implementación de la RAT, podemos concluir que este robo de credenciales de bloqueo de pantalla se creó para que los actores puedan desbloquear el dispositivo de forma remota para realizar un fraude cuando la víctima no está usando el dispositivo. Una vez más, esto muestra la creatividad de los delincuentes para construir las herramientas adecuadas para tener éxito ".
Los troyanos bancarios apuntan cada vez más a las aplicaciones de billetera criptográfica
El informe también examina otras dos RAT que salieron a la fama después de Anubis: "Hydra" y "Gustaff".
Gustaff apunta a bancos australianos y canadienses, billeteras de criptomonedas y sitios web del gobierno, mientras que Hydra ha ampliado recientemente su alcance después de apuntar principalmente a bancos turcos y billeteras blockchain.
Incluyendo Cerberus, los tres troyanos apuntan al menos a 26 intercambios de criptomonedas y proveedores de custodia. Los objetivos incluyen varios líderes en el sector criptográfico, incluidos Coinbase, Binance, Xapo, Wirex y Bitpay.
Más de 20 de los objetivos son proveedores de billeteras que ofrecen soporte para las principales criptomonedas, incluido Bitcoin (BTC), Ethereum (ETH) y Bitcoin Cash (BCH)
Una defensa potencial contra Cerberus es usar un clave de autenticación física para prevenir ataques remotos. Estas claves requieren que un hacker tenga el dispositivo real en su presencia, lo que ayuda a minimizar el riesgo de un ataque exitoso.