Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/06/2011

BitCoin: pronósticos cumplidos

Hace apenas una semana hablamos sobre BitCoin, el dinero virtual utilizado al margen de reguladores y autoridades, y barajamos algunos métodos "menos éticos" que podrían utilizarse para engordar el monedero. A día de hoy todos los pronósticos se han cumplido, tal y como era previsible.

Hipótesis (1):
"Sustracción directa del monedero virtual de usuarios legítimos, el 'wallet.dat', donde se encuentra la llave privada del usuario que facilita operar con su dinero."

Unas horas después de publicarse nuestra noticia, localicé un troyano que hacía precisamente eso, e hice un par de comentarios en Twitter:

• https://twitter.com/#!/bquintero/status/81148103675215872
• https://twitter.com/#!/bquintero/status/81282998372274176

Al día siguiente, a raíz de esos comentarios, Symantec publicaría un post en su blog sobre el troyano que, finalmente, obtuvo cierta repercusión mediática:

• http://www.symantec.com/connect/blogs/all-your-bitcoins-are-ours 
• http://www.wired.com/threatlevel/2011/06/bitcoin-malware/

* Hipótesis (2):

"Existe otra vía que consistiría en poner a "minar" ordenadores de terceros para generar tu dinero, por ejemplo, si eres administrador de una red corporativa podrías utilizar servidores y estaciones de trabajo de la red."

Hoy saltaba a la luz el expediente abierto a un administrador de sistemas de ABC Innovation por un caso grave de mala conducta. El trabajador es acusado de usar los servidores y sistemas de la empresa para "minar" bitcoins: http://bit.ly/iWVP6p

* Hipótesis (3):

"También se podría hacer de forma distribuida y masiva por Internet aprovechando sistemas infectados, vía una botnet. De hecho, ya existen algunas versiones del software original diseñadas para ejecutarse de forma oculta y aprovechar los ciclos ociosos de los ordenadores para no levantar sospechas."

De nuevo detectamos un malware diseñado a tal efecto, también anunciado por Twitter: 

• https://twitter.com/#!/bquintero/status/83587807922241536 
• https://twitter.com/#!/bquintero/status/83590803255074817 
• https://twitter.com/#!/bquintero/status/83592020404338688

A raíz de estos casos hemos detectado más muestras similares, incluyendo droppers que instalan y ejecutan de forma oculta el demonio oficial "bitcoind.exe" y variantes muy similares, por lo que nos reiteramos en nuestro consejo original:

"ya existen algunas versiones del software original diseñadas para ejecutarse de forma oculta y aprovechar los ciclos ociosos de los ordenadores para no levantar sospechas.[...] En mi opinión, dadas las circunstancias, no estaría de más que fueran detectadas bajo la categoría de PUA (Potentially Unwanted Application) o similar, de forma que los administradores y usuarios particulares tuvieran la opción de identificar este tipo de software instalado en sus máquinas."

De momento, Symantec ha sido el único motor antivirus que ha seguido la recomendación: http://bit.ly/j7nNQH

CSIRT-CV