GlassWorm: Nuevo malware usa la blockchain de Solana para robar datos y controlar tu navegador

Investigadores de ciberseguridad han descubierto una nueva versión del malware GlassWorm, una amenaza que roba información sensible de tu navegador y puede instalar un programa espía (un tipo de malware llamado RAT, por sus siglas en inglés) en tu computadora. Lo más llamativo es que este malware utiliza la blockchain de Solana para ocultar sus servidores de control, lo que dificulta su detección y eliminación.

Cómo funciona el ataque

GlassWorm se infiltra en tu sistema a través de paquetes maliciosos que se distribuyen en plataformas para desarrolladores como npm, PyPI, GitHub y Open VSX. Los atacantes también comprometen cuentas de personas que mantienen proyectos en estas plataformas para insertar actualizaciones infectadas. Una vez dentro, el malware:

• Evita infectar sistemas con configuraciones regionales rusas: Esto sugiere que los creadores del malware tienen algún vínculo con Rusia o quieren evitar ser rastreados hasta ese país.
• Usa transacciones de Solana como "buzones muertos" (dead drops): Esto significa que oculta las direcciones de sus servidores de comando y control (C2) dentro de la blockchain de Solana. Esto dificulta enormemente que los investigadores puedan encontrar y desactivar estos servidores.
• Roba datos: Extrae contraseñas, información de billeteras de criptomonedas y detalles del sistema. Esta información se comprime y se envía a un servidor externo.
• Instala un RAT: Este programa espía permite a los atacantes controlar tu computadora de forma remota. El RAT se descarga usando URLs de eventos públicos de Google Calendar también como "buzones muertos".
• Realiza phishing de billeteras de hardware: Si conectas una billetera Ledger o Trezor a tu computadora, el malware muestra una ventana falsa que te pide tu frase de recuperación (las 24 palabras que te permiten acceder a tus criptomonedas).
• Controla tu navegador: Instala una extensión maliciosa en Chrome llamada "Google Docs Offline" que recopila cookies, datos de navegación, capturas de pantalla, pulsaciones de teclas, contenido del portapapeles y hasta 5000 entradas de tu historial de navegación. También puede redirigir tus pestañas a sitios controlados por los atacantes.

A quién afecta

Este ataque afecta principalmente a desarrolladores y usuarios de criptomonedas, pero cualquier persona que instale software de fuentes no confiables podría verse comprometida.

Cómo protegerse

Para protegerte de GlassWorm y otros malwares similares, sigue estos consejos:

• Sé cauteloso al instalar extensiones de navegador, paquetes de npm y otros componentes de software: Verifica siempre el nombre del editor, el historial del paquete y evita confiar ciegamente en el número de descargas.
• Utiliza herramientas de seguridad: La empresa AFINE ha creado una herramienta de código abierto llamada glassworm-hunter que puedes usar para escanear tu sistema en busca de rastros de GlassWorm.
• Mantén tu software actualizado: Instala las últimas actualizaciones de seguridad de tu sistema operativo y navegador.
• Desconfía de las solicitudes de información personal: Nunca ingreses tu frase de recuperación de tu billetera de hardware en una ventana emergente.

Qué significa esto para ti

La sofisticación de GlassWorm, especialmente su uso de la blockchain de Solana para ocultar sus servidores, demuestra que los ciberdelincuentes están constantemente buscando nuevas formas de evadir la detección. Es crucial que los usuarios estén al tanto de estas amenazas y tomen medidas para protegerse. Si eres desarrollador, verifica cuidadosamente los paquetes que utilizas en tus proyectos. Si eres usuario de criptomonedas, ten extrema precaución al conectar tu billetera de hardware a tu computadora.