Ladrón de BoryptGrab
BoryptGrab es un sofisticado malware que roba información, diseñado para recopilar datos confidenciales de sistemas comprometidos. La amenaza se propaga principalmente a través de repositorios fraudulentos de GitHub y páginas de descarga engañosas que promocionan herramientas de software libre. Estas páginas maliciosas están diseñadas para parecer legítimas, lo que aumenta la probabilidad de que usuarios desprevenidos descarguen y ejecuten los archivos infectados.
En ciertas cadenas de ataque, BoryptGrab también distribuye un componente malicioso adicional, conocido como TunnesshClient, una puerta trasera que permite el acceso remoto y la explotación del dispositivo infectado. Una vez detectado en un sistema, BoryptGrab o cualquier amenaza relacionada debe eliminarse de inmediato para evitar más robos de datos o la vulneración del sistema.
Tabla de contenido
Técnicas de evasión y escalada de privilegios
Antes de ejecutar su carga útil principal, BoryptGrab realiza varias comprobaciones diseñadas para evadir a los investigadores de seguridad y los entornos de análisis automatizados. El malware inspecciona los archivos del sistema y la configuración para determinar si se ejecuta en una máquina virtual. Estos entornos son utilizados habitualmente por los analistas de seguridad, y su detección permite al malware modificar su comportamiento o detener su ejecución.
Además de detectar máquinas virtuales, el malware analiza los procesos activos para identificar herramientas de análisis o depuración conocidas. Si se detectan estas herramientas, la actividad maliciosa puede suprimirse para evitar su exposición. Otro paso importante en el proceso de infección consiste en intentar obtener privilegios administrativos, lo que permite al malware acceder a áreas protegidas del sistema y extraer una mayor cantidad de información confidencial.
Capacidades de recopilación de datos del navegador
Un objetivo principal de BoryptGrab es recopilar información confidencial almacenada en navegadores web. El malware ataca numerosos navegadores de uso común, como Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi y Yandex Browser.
La información extraída de estos navegadores suele incluir credenciales de inicio de sesión, datos de autocompletado, historial de navegación y otros datos personales almacenados. Para facilitar este proceso, BoryptGrab descarga una herramienta especializada basada en Chromium que permite la extracción eficiente de datos del navegador. Esto aumenta significativamente la cantidad de información que se puede robar de un sistema comprometido.
Monederos de criptomonedas bajo ataque
Las criptomonedas son otro objetivo importante de BoryptGrab. El malware busca datos almacenados localmente relacionados con monederos de criptomonedas de escritorio y extensiones de navegador asociadas con la gestión de activos digitales. Al extraer datos de los monederos, los atacantes pueden acceder o transferir los fondos almacenados.
El malware se dirige específicamente a una amplia gama de aplicaciones de billetera y servicios relacionados, incluidos:
- Cartera de armería
- Atómico
- AtomicDEX
- Binance
- Núcleo de Bitcoin
- BitPay
- Blockstream Green
- Cartera Chia
- Coinomi
- Copago
- Red principal de Daedalus
- Núcleo de tablero
- Dogecoin
- Efectivo electrónico
- Electro
- ElectrumLTC
- Ethereum
- éxodo
- Dirección verde
- Guarda
- Escritorio Jaxx
- Monedero Komodo
- Ledger Live
- Monedero Ledger
- Núcleo de Litecoin
- Escritorio MEW
- MultiDoge
- Mi billetera Ether
- Monedero NOW
- Núcleo del cuervo
- Cubo de estacas
- Suite Trezor
- Cartera de wasabi
La presencia de una lista tan extensa resalta el fuerte enfoque del malware en el robo financiero.
Recopilación y exfiltración de datos ampliada
Además de navegadores y monederos de criptomonedas, BoryptGrab recopila datos adicionales del sistema infectado. El malware busca en directorios comunes archivos con extensiones específicas que puedan contener información valiosa. También ataca aplicaciones de mensajería y otras plataformas de comunicación.
Los datos recopilados pueden incluir archivos de Telegram, contraseñas de navegador almacenadas y, en las variantes más recientes del malware, tokens de autenticación de Discord. Tras completar la fase de recopilación de datos, BoryptGrab realiza una captura de pantalla del escritorio de la víctima y recopila información general del sistema del equipo comprometido. Todos los datos recopilados se comprimen en un archivo y se transmiten a un servidor controlado por los atacantes.
Puerta trasera TunnesshClient: Control remoto y tunelización de tráfico
Algunas versiones de BoryptGrab implementan una herramienta maliciosa adicional conocida como TunnesshClient, aunque esta función no está presente en todas las variantes. TunnesshClient es una puerta trasera basada en Python que proporciona a los atacantes la capacidad de ejecutar comandos de forma remota.
A través de esta puerta trasera, los ciberdelincuentes pueden enviar comandos directamente al sistema infectado. La herramienta también permite el reenvío de tráfico de red mediante una conexión SSH inversa, lo que permite a los atacantes dirigir la actividad de internet a través del dispositivo comprometido. Esta funcionalidad puede utilizarse para ocultar operaciones maliciosas, realizar nuevos ataques o mantener la persistencia a largo plazo en la red de la víctima.
Consecuencias de una infección por BoryptGrab
Un ataque exitoso a BoryptGrab puede tener graves consecuencias para las víctimas. La información robada suele incluir credenciales, datos personales y detalles de la billetera de criptomonedas, que pueden ser explotados inmediatamente por los ciberdelincuentes.
Los impactos comunes de un ataque de este tipo incluyen:
- Pérdidas financieras resultantes del robo de criptomonedas o de cuentas financieras comprometidas
- Robo de identidad debido a la filtración de datos personales o de autenticación
- Cuentas en línea secuestradas, como cuentas de correo electrónico, redes sociales o plataformas de mensajería.
- Infecciones secundarias distribuidas a través de componentes de malware adicionales
Dados estos riesgos, la eliminación inmediata del malware de los dispositivos infectados es esencial para limitar daños mayores.
Vector de infección: páginas maliciosas de GitHub y descargas de software falsas
La estrategia de distribución de BoryptGrab se basa en gran medida en la ingeniería social y la manipulación de plataformas de desarrollo confiables. Los ciberdelincuentes crean repositorios públicos de GitHub que parecen albergar proyectos de software legítimos. Estos repositorios suelen contener documentación, archivos y descripciones diseñados para imitar herramientas auténticas.
Para maximizar la visibilidad, los atacantes utilizan técnicas de optimización para motores de búsqueda (SEO) para posicionar sus repositorios maliciosos y páginas de GitHub en los primeros resultados de búsqueda. Por lo tanto, los usuarios que buscan utilidades de software, programas pirateados o herramientas de juegos pueden encontrar estas páginas maliciosas cerca de la parte superior de los resultados de búsqueda.
Al abrir un repositorio, los usuarios suelen ser redirigidos a un sitio web de diseño profesional que imita una página de descarga de software auténtica. Estas páginas suelen anunciar trucos para juegos, programas pirateados, potenciadores de FPS o utilidades que supuestamente modifican o descargan aplicaciones como Filmora o Voicemod.
El sitio proporciona un archivo ZIP que simula contener el instalador del software. Al descargarse el archivo y ejecutarse los archivos incluidos, se activa la carga maliciosa y comienza la infección de BoryptGrab.
