PDA

Ver la versión completa : Malware que copia dirección Bitcoin



raviol
26-10-2021, 09:08 PM
Buenas!

Hace un tiempo me está pasando algo raro, que cuando copiaba una URL con muchos caracteres mezclados (un link de una spreadsheet o un token de la web de mi laburo, etc.) me estaba pegando algo raro, una combinación de números y letras más corta, pero que no tenía nada que ver con el link que copiaba.

Pensé en algún issue de Chrome o alguna cosa de seguridad que tomaba un pedazo de esa URL o algo raro, pero esa parte nunca correspondía a la URL "larga" digamos, por lo que no extendía mucho de donde venía el tema.

No le di mucha bola, pq básicamente me pasaba con un token como digo de la web de mi laburo, que no es algo que copio y pego muy a menudo.

Hoy estaba armando un documento y copiando el link de una spreadsheet de google docs, me topo con el mismo problema, por lo que me llamó la atención. En las veces anteriores era como que a veces funcionaba y a veces no, entonces copiando y pegando un par de veces el token lograba tener lo que quería, pero esta vez no. No había forma de obtener la URL.

Pero me di cuenta de algo, si yo copiaba y pegaba la URL al toque en un bloc de notas, la 1era vez obtenía la URL, y la 2da vez estos caracteres raros. Así que se me dio por mirar el portapapeles de Windows, y efectivamente unos segundos después de copiar la URL, se copiaba sola esta sentencia rara.

Resulta que busco esto (12uYbFHKNbrJPoH76ciqyi3LhBePUg8xwU) y me topo con que es una billetera bitcoin, e investigando un poco más veo que es un tipo de malware medio conocido, que cuando identifica algo que puede ser una billetera bitcoin, te la remplaza por esta para que le hagas a ellos la transferencia.

La verdad bastante interesante, pero molesto, aunque solo pasa con ciertas URLs, no ando pasando bitcoins nunca, pero la verdad es que me gustaría sacarlo a la mierda, y dentro de lo posible sin formatear.

Alguno se topó con algo así? He probado Malwarebytes, RogueKiller y SuperAntiSpyware sin éxito. Ahora estoy con Kaspersky a ver si encuentra algo, pero me tiene bastante podrido ya.

Acá hablan de varios malwares parecidos, pero no parece ser ninguno de estos: https://criptodinero.es/aprender/direcciones-de-bitcoin-reemplazadas-al-copiar-y-pegar/

Y acá hay un thread de un script que tiene esa misma billetera, pero el archivo que esta gente está viendo yo no lo tengo: https://stackoverflow.com/questions/68384585/found-this-script-plus-the-exe-file-in-my-app-data-folder-i-wonder-what-does-th

Thalios
27-10-2021, 09:58 AM
Sinceramente con algo que tiene tanto tiempo sin que te lo detecte nada materia un format, no sabes si no fue puerta de entrada para otras cosas

TryXanel
27-10-2021, 01:21 PM
Pha como dice thalios vola el OS a la mierda x que debe estar todo tomado, si se parece a lo que describen en stackOF nada le impide que pase otro tipo de info como contraseñas y usuarios de cualquier sitio o numeros de tarjeta de credito.