Investigadores de la consultora de riesgo empresarial Flashpoint lograron identificar y suspender a un sitio web que imitaba a la página oficial de Jaxx cryptocurrency wallet.
El sitio falso, ahora caído, tenía una URL similar a la página oficial de Jaxx, y estaba esparciendo un malware cuyo objetivo final era vaciar las Wallets de los usuarios de Jaxx.
Los analistas de Flashpoint informaron al equipo de soporte técnico de Jaxx, así como a la compañía de servicios de servidores Cloudflare. Esta última tomó medidas para suspender los servicios al sitio falso, que era una copia línea por línea del sitio real de Jaxx que incluía modificaciones a los enlaces de descarga, redirigiéndolos a un servidor controlado por los estafadores.
Según el blog oficial de Jaxx, esta es una Wallets de criptomonedas que se ha descargado más de 1,2 millones de veces entre máquinas de escritorio y dispositivos móviles. Es compatible con Bitcoin, Ethereum y más de una docena de otras criptomonedas.
En su blog oficil Flashpoint enfatiza el hecho de que el ataque no se debió a una vulnerabilidad en la plataforma de Jaxx: “Cabe señalar que esto es principalmente un ataque de ingeniería social y no implica una vulnerabilidad en la aplicación Jaxx, el sitio web u otros dominios propiedad de Decentral, una startup canadiense de blockchain que proporciona Jaxx”.
El malware se enfocaba principalmente en las máquinas de escrito con sistema Windows o Mac:
En Windows, la página web descargaría el malware junto con el software real de Jaxx, y el malware se ejecutaría en segundo plano. El malware robaría archivos del escritorio del usuario y, además, información de la cuenta de criptomonedas.
En Mac lanzaría un mensaje de error en inglés y en ruso y solicitando información de la cuenta que permitiera a los hackers robar las criptomonedas.