{"id":27012,"date":"2024-02-06T21:17:42","date_gmt":"2024-02-07T03:17:42","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27012"},"modified":"2024-02-06T21:17:42","modified_gmt":"2024-02-07T03:17:42","slug":"fake-macos-activator-steals-bitcoin-exodus-uses-dns","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27012\/","title":{"rendered":"C\u00f3mo robar criptomonedas a trav\u00e9s del DNS"},"content":{"rendered":"<p>El uso de juegos o aplicaciones crackeados para propagar malware es uno de los trucos m\u00e1s antiguos de los ciberdelincuentes. Por incre\u00edble que parezca, en 2024 a\u00fan existen v\u00edctimas cr\u00e9dulas que creen en Robin Hood y consideran que es seguro descargar software y juegos crackeados de sitios web de pirater\u00eda. El tipo de amenaza en s\u00ed mismo puede ser antiguo, pero los atacantes maliciosos siguen encontrando nuevas formas de eludir la seguridad en los ordenadores de las v\u00edctimas para distribuir malware.<\/p>\n<p>Hace poco, <a href=\"https:\/\/securelist.com\/new-macos-backdoor-crypto-stealer\/111778\/\" target=\"_blank\" rel=\"noopener\">descubrimos<\/a> una nueva campa\u00f1a de este tipo dirigida a ordenadores Apple que ejecutan versiones m\u00e1s recientes de macOS (13.6 y posteriores) y que aprovechan ciertas funciones del Sistema de nombres de dominio (DNS) para descargar cargas \u00fatiles maliciosas. Se ofrece a las v\u00edctimas la descarga de versiones crackeadas de aplicaciones populares, de forma gratuita. Entonces, \u00bfqu\u00e9 les espera a quienes ceden a la tentaci\u00f3n?<\/p>\n<h2>Activaci\u00f3n falsa<\/h2>\n<p>Despu\u00e9s de descargar una imagen de disco que supuestamente contiene la aplicaci\u00f3n crackeada, se solicita a la v\u00edctima que copie dos archivos en la carpeta Aplicaciones: la aplicaci\u00f3n en s\u00ed misma y un supuesto \u201cactivador\u201d. Si solo copia e inicia la aplicaci\u00f3n, esta no se ejecutar\u00e1. Seg\u00fan el manual, la aplicaci\u00f3n crackeada debe \u201cactivarse\u201d primero. Nuestro an\u00e1lisis descubri\u00f3 que el activador no hace nada sofisticado: solo elimina varios bytes desde el inicio del archivo ejecutable de la aplicaci\u00f3n para que sea funcional. En otras palabras, los ciberdelincuentes han modificado una aplicaci\u00f3n previamente crackeada para evitar que se ejecute a menos que se \u201cactive\u201d primero. Para sorpresa de nadie, el activador tiene un efecto secundario indeseable: solicita permisos de administrador cuando se ejecuta y los usa para instalar un script de descarga en el sistema. Despu\u00e9s, el script descarga una carga \u00fatil adicional de la red: una <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/backdoor\/\" target=\"_blank\" rel=\"noopener\">puerta trasera<\/a> que solicita comandos de sus operadores de vez en cuando.<\/p>\n<div id=\"attachment_27014\" style=\"width: 1174px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/02\/06211425\/fake-macos-activator-steals-bitcoin-exodus-uses-DNS-01.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-27014\" class=\"wp-image-27014 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/02\/06211425\/fake-macos-activator-steals-bitcoin-exodus-uses-DNS-01.jpg\" alt=\"Manual de instalaci\u00f3n, ventana del activador y solicitud de contrase\u00f1a de administrador.\" width=\"1164\" height=\"1117\"><\/a><p id=\"caption-attachment-27014\" class=\"wp-caption-text\">Manual de instalaci\u00f3n, ventana del activador y solicitud de contrase\u00f1a de administrador.<\/p><\/div>\n<h2>Vinculaci\u00f3n a trav\u00e9s de DNS<\/h2>\n<p>Para descargar el script malicioso, el activador emplea una herramienta que es a la vez ex\u00f3tica y de aspecto inocente: el Sistema de nombres de dominio (DNS). Anteriormente, hablamos acerca del DNS y el <a href=\"https:\/\/latam.kaspersky.com\/blog\/secure-dns-private-dns-benefits\/26006\/\" target=\"_blank\" rel=\"noopener\">DNS seguro<\/a>, pero omitimos una funci\u00f3n t\u00e9cnica interesante de este servicio. Los registros DNS no solo vinculan el nombre de Internet de un servidor con su direcci\u00f3n IP, sino que tambi\u00e9n pueden contener una descripci\u00f3n de texto sin formato del servidor, llamado registro TXT. Esto es lo que utilizaron los actores maliciosos al incrustar fragmentos de c\u00f3digo malicioso dentro de los registros TXT. El activador descarga tres registros TXT que pertenecen a un dominio malicioso y crea un script a partir de ellos.<\/p>\n<p>Aunque parece complicada, esta configuraci\u00f3n tiene una serie de ventajas. Para empezar, el activador no hace nada particularmente sospechoso: cualquier aplicaci\u00f3n web solicita registros DNS; as\u00ed es como debe comenzar cualquier sesi\u00f3n de comunicaci\u00f3n. Asimismo, los actores maliciosos pueden actualizar con facilidad el script para modificar el patr\u00f3n de infecci\u00f3n y la carga \u00fatil final mediante la edici\u00f3n de los registros TXT del dominio. Y, por \u00faltimo, eliminar contenido malicioso de Internet no es una tarea f\u00e1cil, debido a la naturaleza distribuida del Sistema de nombres de dominio. A las empresas y los proveedores de servicios de Internet les resultar\u00eda dif\u00edcil hasta detectar la infracci\u00f3n de sus directivas, porque cada uno de estos registros TXT es solo un fragmento de c\u00f3digo malicioso que no representa una amenaza en s\u00ed mismo.<\/p>\n<h2>El jefe final<\/h2>\n<p>El script de descarga que se ejecuta peri\u00f3dicamente permite a los atacantes actualizar la carga \u00fatil maliciosa y realizar las acciones que deseen en el ordenador de la v\u00edctima. Al momento de nuestro an\u00e1lisis, su objetivo concreto era robar criptomonedas. La puerta trasera analiza el ordenador de la v\u00edctima de manera autom\u00e1tica en busca de carteras Exodus o Bitcoin y las reemplaza con versiones troyanizadas. Una cartera Exodus infectada roba la frase de seguridad del usuario, mientras que una cartera Bitcoin infectada roba la clave de cifrado que se usa para cifrar las claves privadas. Este \u00faltimo caso les da a los atacantes la capacidad de firmar transferencias en nombre de la v\u00edctima. As\u00ed es como alguien puede intentar ahorrar algunas decenas de d\u00f3lares en aplicaciones pirateadas, solo para perder mucho m\u00e1s en criptomonedas.<\/p>\n<h2>C\u00f3mo protegerse frente a un ataque a las carteras de criptomonedas<\/h2>\n<p>Esto no es novedoso, pero sigue siendo cierto: para mantenerte lejos de esta amenaza y evitar convertirte en una v\u00edctima, descarga aplicaciones solo de las tiendas oficiales. Antes de descargar una aplicaci\u00f3n desde el sitio web de un desarrollador, aseg\u00farate de que sea el genuino y no de uno de los muchos <a href=\"https:\/\/latam.kaspersky.com\/blog\/how-to-spot-phishing-on-a-hacked-wordpress-website\/26635\/\" target=\"_blank\" rel=\"noopener\">sitios de phishing<\/a>.<\/p>\n<p>Si est\u00e1s pensando en descargar la versi\u00f3n crackeada de una aplicaci\u00f3n, pi\u00e9nsalo dos veces. Los sitios de pirater\u00eda \u201cescrupulosos y fiables\u201d son tan improbables como los elfos y los unicornios.<\/p>\n<p>No importa cu\u00e1nto consideras que entiendes de tecnolog\u00eda, o qu\u00e9 tanta cautela y atenci\u00f3n a los detalles crees que tienes, aseg\u00farate de usar seguridad integral en todos tus dispositivos: tel\u00e9fonos, tabletas y ordenadores. <a href=\"https:\/\/latam.kaspersky.com\/premium?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0es una buena soluci\u00f3n multiplataforma. Comprueba que todas <a href=\"https:\/\/latam.kaspersky.com\/blog\/kaspersky-home-products-2022\/25869\/\" target=\"_blank\" rel=\"noopener\">las funciones de seguridad b\u00e1sicas y avanzadas<\/a> est\u00e9n activadas. En cuanto a los propietarios de criptomonedas, adem\u00e1s de lo anterior, sugerimos que lean nuestras instrucciones detalladas sobre la protecci\u00f3n de carteras de criptomonedas, tanto <a href=\"https:\/\/latam.kaspersky.com\/blog\/4-key-steps-to-protect-cryptocurrency-properly\/26209\/\" target=\"_blank\" rel=\"noopener\">hot<\/a> como <a href=\"https:\/\/latam.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/26308\/\" target=\"_blank\" rel=\"noopener\">cold<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-geek\">\n","protected":false},"excerpt":{"rendered":"<p>Lo barato sale caro: las aplicaciones crackeadas para macOS obtienen c\u00f3digo malicioso de los registros DNS para robar criptomonedas.<\/p>\n","protected":false},"author":2749,"featured_media":27013,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145],"tags":[638,882,107,1782,3110,3682,3816,816,1181],"class_list":{"0":"post-27012","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-amenazas","9":"tag-bitcoin","10":"tag-consejos","11":"tag-criptomoneda","12":"tag-criptomonedas","13":"tag-dns","14":"tag-exodus","15":"tag-macos","16":"tag-osx"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27012\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27017\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/22330\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/11386\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/29687\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27185\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/29606\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/28510\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/36901\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/12027\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/50361\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/21445\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/22210\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/30879\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/35746\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27410\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/33202\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/32826\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/macos\/","name":"MacOS"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27012","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2749"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=27012"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27012\/revisions"}],"predecessor-version":[{"id":27015,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27012\/revisions\/27015"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/27013"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=27012"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=27012"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=27012"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}