Las lecciones del ataque de malware a creadores de NFT

Algunos artistas denunciaron en sus cuentas de Twitter que fueron víctimas de un ataque de malware. La estrategia que siguieron los atacantes y los errores que cometieron los creadores nos brindan una importante lección de ciberseguridad.

Eva Rosete

El 11 de junio del 2021, algunos artistas dedicados a la creación de archivos NFT denunciaron un ataque de malware.

Los artistas afectados iniciaron hilos explicando el ataque: relataron haber recibido un mensaje privado, cada uno de una cuenta diferente, para colaborar creando arte digital. El atacante, que a menudo afirmó ser de Corea del Sur, mandó un archivo SCR y al abrirlo un código malicioso infectó sus computadoras.

“Un día realmente terrible. Mi Metamask fue pirateada y ahora mi cuenta @withFND está comprometida. Abrí una propuesta de proyecto fraudulenta con un archivo .scr y un ícono de Microsoft Word. ¿Alguien ha experimentado esto antes? Tratando de averiguar qué hacer”, tuiteó el 11 de junio Nicole Ruggiero, artista y directora de 3D. El archivo que contenía el código malicioso era un protector de pantalla.  

Noel Rose publicó en su cuenta de Twitter @PlasticTasticc las conversaciones que sostuvo con una persona que se hacía pasar por representante de una empresa con interés por colaborar con artistas en el desarrollo de NFT musicales. Después de captar el interés de los artistas, el embaucador mandó un enlace para descargar un software con una contraseña y un código de activación.

La cuenta de @CloudyNight_k también alertó sobre el fraude: «ALERTA A TODOS LOS ARTISTAS. Recibí un mensaje (DM) de ‘John Billmate’ pretendiendo ser ‘Responsable por la distribución del editor de fotografía de @SkylumSoftware. NO ABRAN NINGÚN ENLACE DE ESTA PERSONA. Es un fraude, y si recibiste este mensaje (DM), o recibes uno en el futuro, bloquéalo. #NFTComumunity #skylum.

¿Cómo accedieron a las cuentas de los artistas?

El blog de seguridad de la empresa Bart Blaze explicó que en el tuit de Cloundy Night encontró un archivo malicioso en el que se incluía un enlace de skylumpro.com. Sin embago, en lugar de conducir al sitio web legítimo de skylumpro, el enlace descargó el archivo llamado SkylumLuminar(NFT Beta).rar que al descomprimirlo con la contraseña NFT (otorgada por el atacante) infectó el equipo del usuario.

“Una de las primeras cosas que puedes notar es el gran tamaño de la llamada versión beta. Como se vio antes en el tuit de Ariel, ¡El tamaño era de 745 MB, mientras que este archivo tiene el peso de 791 MB!”, describe el informe.

El informe de Bart Blaze explica que el archivo pesaba tanto porque el atacante adjuntó información adicional sin ninguna utilidad. El atacante aumentó el peso para evadir el software antivirus y las herramientas de análisis, pues muchos de estos servicios no analizan archivos tan voluminosos.

Además, la descarga del archivo RAR, no es detectado por el antivirus de forma correcta por tener contraseña. “Una vez ejecutado el archivo, se infectará con el malware RedLine. Proof Point informó sobre este malware por primera vez en marzo del 2020”, dijo Bart Blaze.

Evita un ataque de malware

Un ataque de malware puede tener consecuencias devastadoras: sustracción de usuarios y contraseñas de los navegadores, recopilar información extensa del sistema, ejecutar comandos como cargar y descargar otros archivos, abrir enlaces, robar información de criptomonedas, robar datos de otros software, entre otras, de acuerdo con una investigación publicada en marzo del 2020 por ProofPoint.

Por otra parte, Bart Blaze detalló que un ataque de malware suele actuar muy rápido y en unos minutos se comprometen todas tus cuentas.    

Para prevenir un ataque, Blaze y Manifold, empresa que desarrolla productos blockchain para creadores de NFT, publicaron consejos para que los usuarios se protejan de los ataques de malware.

  • Utiliza Windows 8.1 o posteriores, los anteriores son vulnerables.
  • Instala un antivirus y habilita el Firewall de Windows.
  • Establece el control de cuentas de usuario a nivel máximo.
  • Habilita la visualización de las extensiones de archivo, para que los elementos con la extensión .scr no sean ejecutables, de esa forma el código malicioso será visible.
  • Habilita MFA o 2FA (la doble autorización para cuentas).
  • Utiliza wallets seguras (pero no en Amazon ni proveedores secundarios porque se sabe de ataques a la cadena de suministros).   

Protege tu wallet

El artista FVCKRENDER sufrió la extracción de 40,000 AXS de su cuenta de metamask, con un valor de 4.87 dólares por token, por lo que se estima que perdió 194,800 dólares. El artista recibió ayuda de manifold.xyz, empresa de productos NFT, quienes le ofrecieron asesoría.

El cofundador de manifold.xyz publicó una breve guía de tres pasos para proteger tu billetera digital.

El primero es usar una hardware wallet como ledger o trezor. «Una wallet física almacena las claves de acceso en el dispositivo» y ninguna transacción se puede realizar sin ella, por lo que en caso de un ataque de malware a la computadora las claves no quedan expuestas.

El segundo punto es que la frase mnemotécnica, conocida como seed phrase, que es un grupo de caracteres que sirven para accesar a la wallet, no debe tener huella digital o guardado automático en la computadora y en todo caso usar servicios como cryptotag o cryptosteel para resguardarla.

«No almacene esta frase semilla en un archivo en su computadora o en un administrador de contraseñas. Cuando configure su billetera, escriba su frase inicial EN UN PAPEL y haga dos copias».

Finalmente, recomienda revisar que la configuración de seguridad funcione correctamente realizando «una prueba de recuperación de tu wallet haciendo una transacción, luego restablece el dispositivo a modo fábrica y luego restaura la última versión, el resultado debe ser el mismo antes de colocar el modo fábrica«.