Usuarios de MyEtherWallet dirigidos a través de la extensión maliciosa de Chrome de VPN
Servicio de conversión de tokens de Cryptocurrency Bancor reveló ayer que los piratas informáticos robaron millones en fondos de una de sus carteras en línea, mientras que el servicio de billetera cryter de Etherium MyEtherWallet advirtió que los hackers pueden haber comprometido a cualquiera que accedió a su servicio mientras usaba el servicio gratuito de VPN Hola y su extensión de Chrome.
Estos incidentes brindan la última evidencia creciente de que el sector empresarial de las criptomonedas que crece apresuradamente continúa siendo un foco de actividad de ciberdelincuencia, especialmente porque los intercambios y otros servicios no identifican y eliminan las vulnerabilidades peligrosas.
Bancor, que se describe a sí misma como una red descentralizada de liquidez que convierte los tokens de los usuarios directamente de sus billeteras, dijo en una publicación de Twitter que el 9 de julio la compañía experimentó una brecha de seguridad que comprometió una billetera utilizada para actualizar ciertos contratos inteligentes.
Aunque los monederos de los usuarios no se vieron afectados, el culpable aún logró retirar 24,984 fichas de Etherium (ETH), más de 229 millones de fichas Punid X (NPXS) y 3,2 mil millones en monedas de Bancor (BNT) del contrato inteligente. A partir del 9 de julio, la moneda robada tenía un valor colectivo de alrededor de $ 23.5 millones.
Bancor pudo congelar con éxito el BNT robado, por un valor de alrededor de $ 10 millones, pero no el resto de los tokens robados. "Sin embargo, ahora estamos trabajando junto con docenas de intercambios de criptomonedas para rastrear los fondos robados y hacer que sea más difícil para el ladrón liquidarlos", dice el tweet.
En cuanto a las 2 pm hora del este, el sitio web de la red Bancor permaneció inactivo para el mantenimiento, después del ataque.
“The Bancor security breach is just the latest example of cryptocurrency's continued popularity with cybercriminals due to its anonymity and large potential profits," said Sherrod DeGrippo, director of emerging threats at Proofpoint. "In fact, over the past nine months, we have identified a significant increase in threat actors targeting cryptocurrency sites, wallets, exchanges, and individual users. Threats include a surge in commodity malware volumes, such as banking trojans and information stealers, leveraging cryptocurrency logins to steal and mine currency."
Además, los actores de amenazas recurren a "tácticas creativas" para victimizar a los comerciantes de criptomonedas, "como comprar espacio en Google Ads para publicitar billeteras falsas o sitios de comercio de criptomonedas, que finalmente roban las credenciales o billeteras del usuario", continuó DeGrippo.
Además de Bancor, MyEtherWallet publicó su propia divulgación en Twitter ayer: "Recibimos un informe que sugería que la extensión de Hola Chrome se pirateó durante aproximadamente 5 horas y el ataque estaba registrando su actividad en MEW", dice el tweet . Un tweet por separado informa de manera urgente a cualquier persona con la extensión de Hola Chrome que utilizó MEW durante el ataque para "transferir sus fondos de forma inmediata" a una nueva cuenta.
Una publicación en el blog de Hola Networks Ltd., desarrollador del producto Hola VPN basado en Israel, explica que los atacantes cargaron una versión maliciosa de la extensión de Chrome de su aplicación a Chrome Store, reemplazando la que el equipo de desarrollo de Hola originalmente cargó.
"Después de la investigación inicial, descubrimos que nuestra cuenta de Google Chrome Store se había visto comprometida y que un pirata informático había subido una versión modificada de la extensión a la tienda", indica la publicación, señalando que Hola restableció rápidamente la extensión oficial y aseguró la cuenta. Investigaciones posteriores mostraron que el ataque "fue programado para inyectar una etiqueta JavaScript en el sitio MEW para robar información sobre cuentas MEW que están ingresando sin estar en 'modo de incógnito' reorientando a los usuarios de MEW al sitio web del hacker".
"Notificamos a MEW, notificamos a Google y nos aseguramos de que el sitio web del hacker no funcionara", continúa la publicación, y agrega que Hola está "determinando el alcance del compromiso y realizando una evaluación de los pasos que se pueden seguir para ayudar a evitarlo". un incidente que ocurrirá en el futuro ".
El ataque parece provenir de una dirección IP basada en Rusia, según un artículo de TechCrunch , que cita una declaración de la empresa de MyEtherWallet.
En abril pasado, los piratas informáticos emplearon un ataque de hombre en el medio para comprometer un servidor DNS de Amazon, lo que les permitió robar unos $ 152,000 en Ethereum de MEW al redirigir a los clientes a un sitio de phishing donde ingresaron las credenciales de inicio de sesión de sus billeteras.
El incidente también resalta la presencia de Hola VPN y otros servicios de red privada virtual gratuitos o freemium cuyas protecciones de privacidad y seguridad a veces han sido objeto de escrutinio.
El sitio web de evaluación de VPN TheBestVPN.com publicó recientemente una evaluación del servicio Hola VPN punto a punto, llamándolo un "servicio de VPN problemático y peligroso que ha sido sorprendido in fraganti explotando las conexiones de internet de sus usuarios y abriéndolos a peligrosas escenarios ". La revisión advierte que la aplicación VPN registra y comparte información del usuario en exceso, no usa cifrado y enruta el tráfico de forma insegura (a través de máquinas de pares en lugar de a través de servidores dedicados). Una serie de pruebas ejecutadas en la aplicación también revelaron filtraciones de DNS y WebRTC.
"Creo que un ataque iba a suceder de una manera u otra. Es triste que la gente perdiera fondos debido a un esfuerzo débil en seguridad y privacidad", dijo Robert Madisalu, investigador jefe de TheBestVPN.com.
"Sugiero a todo el mundo ... opte por una VPN mejor que realmente utilice un estándar de cifrado de grado militar", agregó Mardisalu. "Antes de elegir una VPN, revise también su política de registro. Puede sorprenderse lo que puede encontrar allí".
Ariel Hochstadt, cofundador de vpnMentor, otro sitio web de revisión de VPN, expresó reservas similares sobre Hola. "La mayoría de las personas ven un servicio de VPN gratuito y no se detienen a pensar si se debe pagar un precio desconocido", dijo Hochstadt. "Si bien puede no ser monetario, hay un precio que se paga: baja seguridad y IP de usuario vendidas a terceros".
En última instancia, la responsabilidad recae en los usuarios para tomar decisiones acertadas sobre qué VPN utilizan. "Si no se detienen y se preguntan por qué su VPN no funciona cuando realizan una simple búsqueda en Google, Hola no es compatible con Google.com, entonces no se sorprenderán cuando los pirateen por usarlo, "dijo Hochstadt.
TRADUCIDO POR: @CRYPTORAMBO
FUENTE ORIGINAL: https://goo.gl/4BcHHs