Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/06/2011

BitCoin: pronòstics complits

Fa a penes una setmana que parlem sobre BitCoin i dels diners virtuals utilitzats al marge de reguladors i autoritats, i remenem alguns mètodes "menys ètics" que podrien utilitzar-se per a engreixar el portamonedes. A hores d'ara tots els pronòstics s'han complit, tal com era previsible.

Hipòtesi (1):
"Sostracció directa del portamonedes virtual d'usuaris legítims, el 'wallet.dat', on es troba la clau privada de l'usuari que facilita operar amb el seu diners."

Unes hores després de publicar-se la nostra notícia, vaig localitzar un troià que feia precisament això, i vaig fer un parell de comentaris en Twitter:

• https://twitter.com/#!/bquintero/status/81148103675215872
• https://twitter.com/#!/bquintero/status/81282998372274176

L'endemà, arran d'aqueixos comentaris, Symantec publicaria un article (post) en el seu bloc sobre el troià que, finalment, va obtindre una certa repercussió mediàtica:

• http://www.symantec.com/connect/blogs/all-your-bitcoins-are-ours 
• http://www.wired.com/threatlevel/2011/06/bitcoin-malware/

* Hipòtesi (2):
"Hi ha una altra via que consistiria a posar a "minar" ordinadors de tercers, per tal de generar els teus diners, per exemple, si eres administrador d'una xarxa corporativa podries utilitzar servidors i estacions de treball de la xarxa."

Hui botava a la llum l'expedient obert a un administrador de sistemes d'ABC Innovation, per un cas greu de mala conducta. El treballador és acusat d'usar els servidors i sistemes de l'empresa per a "minar" bitcoins: http://bit.ly/iWVP6p

* Hipòtesi (3):

"També es podria fer de forma distribuïda i massiva per Internet, aprofitant sistemes infectats, via una xarxa d'ordinadors mòbils. De fet, ja hi ha algunes versions del programari original dissenyades per a executar-se de forma oculta i aprofitar els cicles ociosos dels ordinadors per a no alçar sospites."

De nou detectem un codi maliciós (malware) dissenyat a aquest efecte, també anunciat per Twitter:

• https://twitter.com/#!/bquintero/status/83587807922241536 
• https://twitter.com/#!/bquintero/status/83590803255074817 
• https://twitter.com/#!/bquintero/status/83592020404338688

Arran d'aquests casos hem detectat més mostres semblants, incloent-hi droppers que instal·len i executen, de forma oculta, el dimoni oficial "bitcoind.Exe" i variants molt semblants, per la qual cosa ens reiterem en el nostre consell original:

«Ja hi ha algunes versions del programari original dissenyades per a executar-se de forma oculta i aprofitar els cicles ociosos dels ordinadors per a no alçar sospites.[...] Al meu parer, donades les circumstàncies, no seria sobrer que foren detectades sota la categoria de PUA (Potentially Unwanted Application) o semblant, de forma que els administradors i usuaris particulars tingueren la  opció d'identificar aquest tipus de programari instal·lat en les seues màquines».

De moment, Symantec ha estat l'únic motor antivirus que ha seguit la recomanació: http://bit.ly/j7nNQH

CSIRT-CV