Nueva Onda de Malware de Criptomonedas
Una nueva ola de malware de criptomonedas está arrasando el mundo de los activos digitales, y esta vez los actores son más astutos y versátiles que nunca. En la vanguardia de esta nueva ola se encuentran los Librarian Ghouls, un grupo de amenazas persistentes avanzadas (APT) centrado en Rusia, y Crocodilus, un ladrón multiplataforma con raíces en los troyanos bancarios de Android.
Librarian Ghouls y Sus Técnicas
«La última campaña de los Librarian Ghouls utiliza software legítimo como AnyDesk para ocultar mineros de criptomonedas y keyloggers. Una vez que están dentro, son silenciosos, hasta la medianoche.» — Kaspersky Threat Intelligence (9 de junio de 2025)
Este grupo APT disfraza sus ataques como documentos rutinarios (por ejemplo, órdenes de pago) en correos electrónicos de phishing. Una vez abiertos, su malware:
- Instala 4t Tray Minimizer para ocultar procesos maliciosos.
- Despliega AnyDesk para acceso remoto y XMRig para minar Monero.
- Roba credenciales de billeteras criptográficas y claves de registro.
Novedad en 2025: Activación a medianoche; el malware solo se ejecuta durante la noche para evitar la detección. Su ataque no es simplemente un robo a través de la fuerza bruta; más bien, combinan experiencia técnica con coerción psicológica, atacando en cada paso del ciclo de criptomonedas.
Los Librarian Ghouls también han optimizado su cargador para hacerse pasar por aplicaciones comerciales legítimas, implantando su malware en documentos que parecen inofensivos. Cuando la víctima ejecuta el archivo, los instaladores de malware añaden silenciosamente programas como 4t Tray Minimizer y AnyDesk para controlar el acceso remoto sin ser detectados.
Lo que es más singular acerca de este grupo es su uso de disparadores basados en el tiempo: el malware solo se activa por la noche, reduciendo las posibilidades de detección durante las horas de trabajo. Esto les permite robar credenciales de billeteras, minar Monero y exfiltrar datos sensibles sin ser detectados.
Crocodilus: Evolución y Amenazas
Originalmente un troyano bancario turco, Crocodilus ahora apunta a usuarios de criptomonedas a nivel global a través de:
- Aplicaciones falsas que se hacen pasar por Coinbase, MetaMask o herramientas de minería.
- Cosechadores automatizados de frases semilla que escanean dispositivos en busca de datos de billeteras.
- Ingeniería social a través de contactos de “Soporte Bancario” falsos.
«El nuevo analizador de Crocodilus extrae frases semilla con precisión quirúrgica. Un clic en un enlace falso de X y tu billetera se ha ido.» — ThreatFabric MTI Team (3 de junio de 2025)
Crocodilus ha evolucionado rápidamente de ser una amenaza regional a una global. Ya no se limita a Android; ahora apunta a extensiones de navegador, aplicaciones de escritorio clonadas e incluso bots de Telegram para expandir su alcance.
La característica más mortal del malware es su capacidad para robar frases semilla desde el portapapeles, obtener capturas de pantalla y datos de autocompletado, a veces incluso antes de que la víctima se dé cuenta del ataque.
Mercado Negro y Técnicas de Estafa
Los actores de amenazas han comenzado a ofrecer acceso a las billeteras comprometidas a la venta en foros de la darknet, estableciendo un próspero mercado negro para activos de criptomonedas robados.
A veces, Crocodilus incluso envía spam a números de “soporte” inocentes en los teléfonos de las víctimas, engañando a los usuarios para que proporcionen información sensible.
Los hackers están explotando X (Twitter) mediante:
- Cuentas verificadas secuestradas que promueven airdrops fraudulentos.
- Códigos QR vinculados a contratos inteligentes que drenan billeteras.
- Chats de soporte de deepfake por IA.
Ejemplo Real: En mayo de 2025, un livestream de deepfake de «Elon Musk» instó a los espectadores a escanear un código QR para un sorteo de «TeslaCoin», resultando en pérdidas de más de 200k en 30 minutos.
Prevención y Recomendaciones
Según la Guía 2025 de Quillaudits, para protegerse contra tales amenazas, los usuarios deben adoptar un enfoque OPSEC de múltiples capas. Los expertos recomiendan:
- Utilizar billeteras de hardware para inversiones de alto valor.
- Habilitar autenticación de dos factores.
- Nunca compartir frases semilla.
- Revisiones regulares de las aprobaciones de billeteras.
- Mantener el software actualizado.
- Separar las operaciones criptográficas en dispositivos de un solo uso.
A medida que los atacantes se vuelven cada vez más innovadores, la mejor defensa es estar bien informado y ser adecuadamente escéptico.
