Un ataque en curso contra las billeteras Electrum Bitcoin se ha vuelto cada vez más grande y los atacantes ahora apuntan a toda la infraestructura del intercambio con una botnet de más de 152,000 usuarios infectados, aumentando la cantidad de fondos de usuarios robados a USD 4.6 millones.

Electrum ha estado enfrentando ataques cibernéticos desde diciembre del año pasado cuando un equipo de ciberdelincuentes explotó una debilidad en la infraestructura de Electrum para engañar a los usuarios de billeteras para que descargaran las versiones maliciosas del software.

En resumen, los atacantes agregaron algunos servidores maliciosos a la red de pares de Electrum que fueron diseñados para mostrar deliberadamente un error para legitimar las aplicaciones de billetera Electrum, instándolos a descargar una actualización de software de billetera maliciosa de un repositorio no oficial de GitHub.

El ataque de phishing finalmente permitió a los atacantes robar fondos de la billetera (casi 250 Bitcoins que equivalían a alrededor de $ 937,000 en ese momento) y tomar el control total de los sistemas infectados.

Para contrarrestar esto, los desarrolladores detrás de Electrum explotaron la misma técnica que los atacantes para alentar a los usuarios a descargar la última versión parcheada de la aplicación de billetera.

«Los clientes de Electrum anteriores a 3.3 ya no pueden conectarse a servidores electrum públicos. Comenzamos a explotar una vulnerabilidad de DOS en esos clientes para obligar a sus usuarios a actualizar y evitar la exposición a mensajes de phishing. Los usuarios de Linux Tail deben descargar nuestra Appimage». desarrolladores de electro tuiteó en marzo.

En respuesta a esto, los atacantes comenzaron a hacer DDoSing en servidores Electrum legítimos en un intento de engañar a los clientes más antiguos para que se conectaran a nodos maliciosos, mientras que los nodos legítimos se abrumaban.

Según una publicación del equipo de investigación de Malwarebytes Labs, la cantidad de máquinas infectadas que descargaron el software de cliente malicioso y están participando involuntariamente en los ataques DDoS llegó a 152 000, que fue menos de 100 000 la semana pasada.

Los atacantes detrás de estas campañas básicamente están distribuyendo un malware de botnet, denominado «ElectrumDoSMiner«principalmente aprovechando el kit de explotación RIG, Smoke Loader y un nuevo cargador BeamWinHTTP previamente no documentado.

«Hay cientos de binarios maliciosos que recuperan ElectrumDoSMiner», señalan los investigadores. «Suponemos que probablemente haya muchos más vectores de infección además de los tres que hemos descubierto hasta ahora».

Según los investigadores, la mayor concentración de bots DDoS de Electrum se encuentra en la región de Asia Pacífico (APAC), Brasil y Perú, y la red de bots crece continuamente.

«La cantidad de víctimas que forman parte de esta red de bots cambia constantemente. Creemos que a medida que se limpian algunas máquinas, otras nuevas se infectan y se unen a otras para realizar ataques DoS. Malwarebytes detecta y elimina las infecciones de ElectrumDoSMiner en más de 2000 puntos finales al día. , «dicen los investigadores.

Dado que las versiones actualizadas de Electrum no son vulnerables a los ataques de phishing, se recomienda a los usuarios que actualicen sus aplicaciones de billetera a la última versión (3.3.4) descargándola del sitio oficial electrum.org.

Mientras tanto, se recomienda a los usuarios de la aplicación de billetera Electrum que deshabiliten la función de conexión automática y seleccionen su servidor manualmente para evitar ataques DDoS.