Nueva broma-troyano en Rusia, filtración de datos de la Comisión Europea y otros eventos de ciberseguridad - ForkLog: criptomonedas, IA, singularidad, futuro

# Un nuevo troyano de “broma” en Rusia, filtración de datos de la Comisión Europea y otros acontecimientos de ciberseguridad

Hemos recopilado las noticias más importantes del mundo de la ciberseguridad de la semana.

• Seguía, sustituía direcciones cripto y se burlaba: en Rusia se detectó un troyano de broma.
• Las direcciones de servidores del software para robar criptomonedas se encontraron en Spotify y Chess.com.
• Se acusó a un hacker de robar $53 millones desde el exchange cripto Uranium.
• Los expertos detectaron una frase semilla actualizada del “stealer” para Apple y Android.

Seguía, sustituía direcciones cripto y se burlaba: en Rusia se detectó un troyano de broma

Los expertos de «Kaspersky Lab» identificaron en Rusia una campaña activa para distribuir un nuevo troyano. CrystalX se promociona mediante el modelo CaaS a través de anuncios en las redes sociales Telegram y YouTube.

El software funciona como spyware y stealer a la vez, lo que permite realizar las siguientes acciones:

• robar credenciales de los navegadores, así como cuentas en Steam, Discord, Telegram;
• sustituir de forma imperceptible las direcciones de los monederos cripto en el portapapeles;
• grabar de manera oculta audio y video de la pantalla y de las cámaras web.

La característica distintiva del malware fueron las burlas al usuario en tiempo real. Para ello, el panel contiene una sección separada llamada Rofl con los comandos correspondientes:

• descargar una imagen desde la URL especificada y configurarla como fondo del escritorio;
• cambiar la orientación de la pantalla a 90°, 180° o 270°;
• apagar el sistema operativo mediante la utilidad shutdown.exe;
• reemplazar las funciones del botón izquierdo del mouse por las del derecho y viceversa;
• desactivar el monitor y bloquear la entrada;
• hacer que el cursor tiemble en intervalos cortos;
• ocultar todos los iconos de los archivos en el escritorio, desactivar la barra de tareas, el Administrador de tareas y cmd.exe.

Además, el atacante puede enviar un mensaje a la víctima, tras lo cual en el sistema se abre una ventana de diálogo para una comunicación bidireccional.

Fuente: «Laboratorio Kaspersky».Como señaló el experto principal de Kaspersky GReAT Leonid Bezvershenko en un comentario para «Código de Durov», el virus se desarrolla activamente y es mantenido por sus creadores. Espera un aumento del número de víctimas a medida que se amplíe la geografía de los ataques.

Los especialistas recomiendan descargar aplicaciones solo desde tiendas oficiales, instalar un antivirus fiable y, además, habilitar la visualización de las extensiones de archivo en Windows para no ejecutar accidentalmente archivos peligrosos de los formatos .EXE, .VBS y .SCR.

Las direcciones de servidores del software para robar criptomonedas se encontraron en Spotify y Chess.com

Los investigadores de Solar 4RAYS prestaron atención a que los hackers ocultan las direcciones de los servidores de control del stealer MaskGram en perfiles de Spotify y Chess.com.

MaskGram está orientado al robo de cuentas y criptomonedas, y también cuenta con la capacidad de cargar módulos adicionales.

El malware recopila datos sobre el sistema, la lista de procesos y las aplicaciones instaladas, y realiza capturas de pantalla. Extrae información de navegadores Chromium, monederos cripto, clientes de correo, mensajeros y aplicaciones VPN.

Los ciberdelincuentes distribuyen el software mediante ingeniería social: se hacen pasar por versiones “crackeadas” de programas de pago para una comprobación masiva de inicios de sesión y contraseñas de bases de datos filtradas como Netflix Hunter Combo Tool, Steam Combo Extractor y Deezer Checker.

Según los expertos, el software utiliza la técnica del “dead drop” o Dead Drop Resolver (DDR), que permite almacenar información sobre el servidor de control en páginas de servicios públicos y cambiarla rápidamente.

La máquina infectada no se comunica con una IP sospechosa; en su lugar, se comunica con Spotify o Chess.com, mostrando una actividad de usuario normal.

El campo about en el perfil del usuario de Chess.com. Fuente: Solar 4RAYS.Para cada plataforma se utiliza un conjunto de marcadores propio. Por ejemplo, para Chess.com: el campo about en el perfil del usuario. La cadena extraída pasa por un proceso de decodificación y se convierte en el dominio del servidor.

En marzo, los especialistas de Aikido registraron el uso de la técnica del “dead drop” por parte del stealer GlassWorm en transacciones cripto en la blockchain Solana.

Se acusó a un hacker de robar $53 millones desde el exchange cripto Uranium

La Fiscalía de EE. UU. presentó cargos contra Jonathan Spaletta por el robo de más de $53 millones del exchange cripto Uranium Finance y el blanqueo de dinero.

En abril de 2021, Spaletta (también conocido por el apodo Cthulhon) pirateó el exchange descentralizado (DEX) Uranium basado en BNB Chain. Como resultado, la falta de fondos obligó a la empresa a cerrar.

En febrero de 2025, durante un registro, las autoridades encargadas de hacer cumplir la ley incautaron objetos de valor de la casa del sospechoso y, además, restablecieron el acceso a criptomonedas por un valor de alrededor de $31 millones.

Según las autoridades, Spaletta blanqueó los activos robados a través del DEX y el mezclador Tornado Cash. El dinero recibido lo gastó en objetos de colección:

• la tarjeta Magic: The Gathering «Black Lotus» — ~ $500 000;
• 18 boosters sellados de Alpha Edition de Magic: The Gathering — ~ $1,5 millones;
• un set base completo de Pokémon de la primera edición — ~ $750 000;
• una moneda de la antigua Roma acuñada en honor al asesinato de Julio César — más de $601 000.

A Spaletta le enfrenta hasta 10 años de prisión por cargos de fraude informático y hasta 20 años si lo declaran culpable de blanqueo de dinero.

Los expertos detectaron una frase semilla actualizada del “stealer” para Apple y Android

Los investigadores de «Laboratorio Kaspersky» detectaron una nueva versión del malware SparkCat para robar criptomonedas en Apple App Store y Google Play Store. Esto lo informa The Hacker News.

El stealer se disfraza de aplicaciones inofensivas como mensajeros corporativos y servicios de entrega de comida. En segundo plano, escanea las galerías de fotos de las víctimas en busca de frases semilla de monederos cripto.

Los expertos analizaron dos aplicaciones infectadas en App Store y una en Google Play. Están orientadas principalmente a usuarios de criptomonedas en Asia:

• Variante de iOS. Escanea las frases mnemotécnicas de monederos cripto en inglés. Este enfoque hace que la versión de iOS sea potencialmente más peligrosa a escala global, ya que puede afectar a usuarios independientemente de su región;
• Variante de Android. En la versión actualizada aparecieron varios niveles de ofuscación del código en comparación con los anteriores. El software utiliza virtualización de código y lenguajes de programación multiplataforma para eludir el análisis. Además, busca palabras clave en japonés, coreano y chino, lo que confirma el enfoque en la región asiática.

Los especialistas creen que en la operación participa un operador de habla china o rusa. Según los datos más recientes, la amenaza se desarrolla activamente y las personas detrás cuentan con altos conocimientos técnicos.

La Comisión Europea confirmó una filtración como resultado del ciberataque ShinyHunters

La Comisión Europea (ЕК) confirmó el hecho de la filtración de datos tras un ciberataque a la plataforma web Europa.eu, responsabilidad del cual asumieron los extorsionadores de ransomware de ShinyHunters.

En ЕК afirmaron que el incidente no interrumpió el funcionamiento del portal y que pudo contenerse.

Aunque la Comisión no proporcionó detalles, los atacantes le dijeron a BleepingComputer que lograron robar más de 350 ГБ de información, incluyendo varias bases de datos. No revelaron el método para hackear las cuentas de AWS, pero compartieron capturas de pantalla que confirman el acceso a las cuentas de algunos empleados de la ЕК.

El grupo también publicó una entrada en su sitio de filtraciones en la dark web, afirmando que se sustrajeron más de 90 ГB de archivos:

• volcados de servidores de correo;
• bases de datos;
• documentos y contratos confidenciales;
• otros materiales sensibles.

Fuente: BleepingComputer. También en ForkLog:

• El proyecto Solana Drift Protocol perdió $280 millones.
• CertiK advirtió sobre los riesgos de robo de criptomonedas a través de OpenClaw.

Qué leer este fin de semana

Tras estudiar los datos de los equipos de investigación, los informes de las empresas y el estado actual de los acontecimientos, ForkLog averiguó cómo están evolucionando las tecnologías de interfaces “cerebro — computadora”.