SOC Prime Bias: Medio

28 Apr 2026 15:45 UTC

Drainers de Criptomonedas como una Amenaza Convergente: Perspectivas sobre los Nuevos Ecosistemas de Ataque Híbrido Emergentes

Author Photo
SOC Prime Team linkedin icon Seguir
Drainers de Criptomonedas como una Amenaza Convergente: Perspectivas sobre los Nuevos Ecosistemas de Ataque Híbrido Emergentes
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El informe explica cómo la infraestructura establecida de ciberdelincuencia está convergiendo cada vez más con las operaciones de drenaje de criptomonedas, dando lugar a ecosistemas de ataque híbridos que ponen en riesgo tanto a los activos de Web2 como de Web3. Los actores de amenazas dependen de páginas de phishing refinadas con temáticas alrededor de herramientas de inteligencia artificial o servicios financieros para convencer a las víctimas de conectar sus carteras, autorizar transacciones de tokens y transferir fondos inconscientemente a través de múltiples blockchains. Dos ejemplos destacados, StepDrainer y EtherRAT, demuestran cómo este modelo abarca tanto el drenaje de carteras basadas en navegador como el malware en Windows con funcionalidad consciente de blockchain. Como resultado, la amenaza ahora se extiende más allá de los usuarios nativos de criptomonedas y llega más profundamente a los entornos empresariales convencionales.

Investigación

Los investigadores examinaron la operación de malware como servicio StepDrainer, incluidas su infraestructura de staging PHP y JavaScript y su uso de Web3Modal para mostrar indicios convincentes de conexión de carteras. También analizaron el malware EtherRAT para Windows, que se entregó a través de un instalador TFTP troyanizado, mantuvo la persistencia mediante una clave de registro Run y se comunicó con puntos finales RPC de Ethereum y Solana. Durante la investigación, el equipo extrajo indicadores como dominios maliciosos, claves de registro y artefactos de línea de comandos vinculados a ambas vías de ataque.

Mitigación

Las organizaciones deben bloquear el acceso a dominios maliciosos conocidos, requerir autenticación multifactor para extensiones de carteras siempre que sea posible, y monitorear sistemas para entradas de registro Run sospechosas y procesos de Node.js inesperados. Los equipos de seguridad también deben inspeccionar el tráfico hacia servicios RPC de blockchain públicos en busca de comportamientos anómalos y revisar regularmente las extensiones del navegador para detectar signos de manipulación o abuso.

Respuesta

Si se detecta esta actividad, aísle inmediatamente el host afectado, elimine la entrada maliciosa de registro Run, termine los procesos no autorizados de Node.js y revoque todas las aprobaciones de tokens otorgadas por las carteras afectadas. Los investigadores deben realizar un análisis forense para identificar cargas adicionales o mecanismos de persistencia y actualizar las listas de permitidos o bloqueados para evitar una mayor comunicación con la infraestructura de comando y control identificada.

Flujo de Ataque

Ejecución de Simulación

Prerequisito: El Comprobador de Telemetría y Línea de Base Previa al Vuelo debe haber pasado.

  • Narrativa de Ataque y Comandos

    El adversario ya ha colocado un archivo JavaScript malicioso (payload.js) en el objetivo. Para lograr persistencia, utilizan el node.exe binario para iniciar conhost.exe en modo sin cabeza, que luego carga la carga útil de JavaScript. Esta técnica evita ventanas de consola visibles y se mezcla con el uso normal de node .

    1. Suelta la carga útil maliciosa (payload.js) a una ubicación temporal.
    2. Ejecuta node.exe con un comando que genera conhost.exe --sin_cabeza apuntando a la carga útil.
    3. Crea una tarea programada que ejecuta el mismo comando en el inicio del sistema, proporcionando persistencia.
  • Script de Prueba de Regresión

    # Simulación de Persistencia de EtherRAT – PowerShell
    # -------------------------------------------------
    # 1. Preparar carga útil JavaScript maliciosa
    $payloadPath = "$env:TEMPpayload.js"
    @"
    // JS malicioso mínimo – en realidad esto cargaría el implante EtherRAT
    const { exec } = require('child_process');
    exec('calc.exe'); // Ejemplo de efecto colateral
    "@ | Set-Content -Encoding UTF8 $payloadPath
    
    # 2. Localizar node.exe (asumimos que está en la RUTA)
    $node = (Get-Command node.exe).Source
    if (-not $node) {
        Write-Error "node.exe no encontrado en la RUTA."
        exit 1
    }
    
    # 3. Construir la línea de comandos de conhost
    $conhostCmd = "C:WindowsSystem32conhost.exe --sin_cabeza `"$payloadPath`""
    
    # 4. Lanzar vía node.exe (esto crea la relación padre-hijo)
    $script = "require('child_process').exec(`"$conhostCmd`")"
    & $node -e $script
    
    # 5. OPCIONAL: Crear tarea programada para persistencia
    $taskName = "SystemUpdate"
    $action = New-ScheduledTaskAction -Execute $node -Argument "-e `"$script`""
    $trigger = New-ScheduledTaskTrigger -AtLogOn
    Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -RunLevel Highest -Force
  • Comandos de Limpieza

    # Eliminar tarea programada
    Unregister-ScheduledTask -TaskName "SystemUpdate" -Confirm:$false
    
    # Eliminar carga útil
    Remove-Item -Path "$env:TEMPpayload.js" -Force
    
    # Detener cualquier proceso conhost restante generado por la prueba
    Get-Process conhost -ErrorAction SilentlyContinue | Where-Object {
        $_.Path -eq 'C:WindowsSystem32conhost.exe' -and $_.CommandLine -match '--sin_cabeza'
    } | Stop-Process -Force