CriptoDinero
Aprender

Direcciones de Bitcoin reemplazadas al copiar y pegar

Direcciones de Bitcoin reemplazadas al copiar y pegar
Alan Savedra
20 enero, 2021

Si te encuentras con el problema de que ves todas las direcciones de Bitcoin reemplazadas al copiar y pegar, seguramente tengas alguno de los virus que aquí te indicamos. Elimínalo con un antivirus bueno, formatea la PC y a otra cosa. Pero tengas o no este problema, siempre chequea la dirección de BTC del destinatario antes de hacer un envío…

Copias la dirección de Bitcoin del destinatario para enviar los fondos, pero al pegarla aparece otra. Si no se chequea bien, los BTC llegarán a la dirección reemplazada. En tal caso, no será posible recuperarlos.

Por más antivirus, programas y muros de seguridad aplicados, al hacer una transacción de Bitcoin, SIEMPRE CONFIRMA CON TUS OJOS la dirección de BTC del destinatario antes de enviar nada. De lo contrario, podrías perderse todo.

Ver: ¿Cómo cancelar transacción de Bitcoin?

¿Por qué copio una dirección de Bitcoin y se pega otra?

Probablemente, debido a la presencia un virus, concretamente un troyano u otro tipo de malware, diseñado especialmente para reemplazar las direcciones de BTC copiadas en el portapapeles por direcciones de Bitcoin que están en manos de piratas informáticos.

Se trata de una forma de desviar transacciones y robar fondos de Bitcoin, que funciona modificando las direcciones de Bitcoin cuando se almacenan temporalmente en el portapapeles.

Ejemplo:

Copias: 1BYpmdzASG7S6WrpmrnzJCX3y8kduFRRmd

Pero al pegar se cambia por 1erPMR5EsGhh1YipurznLÑÑ2x2jklEETnj

Direcciones de Bitcoin reemplazadas al copiar y pegar

Si no verificas la dirección pegada y envías… Nada que pueda hacerse. Los BTC habrán llegado, irreversiblemente, al destino equivocado.

Ver: ¿Cómo recuperar Bitcoins si perdí la contraseña del monedero?

4 Virus que producen direcciones de BTC reemplazadas al copiar y pegar

Clipboard Hijackers

Este intruso contiene una DLL (biblioteca de enlace dinámico) llamada d3dx11_31.dll, la cual se agrega a la carpeta Temp de Windows y crea un archivo ejecutable llamado “DirectX 11”, donde se encuentra el malware en cuestión.

«El malware ejecuta un archivo DLL masivo de 83 MB que se hace pasar por un servicio Direct X, que contiene un archivo de texto de 2,5 millones de líneas lleno de direcciones de Bitcoin».

BleepingComputer, web especializada en seguridad

Trojan.Coinbitclip

Descubierto por Symantec, este troyano también afecta el portapapeles de las computadoras, cambiando «las direcciones de Bitcoin guardadas en el portapapeles con las proporcionadas por el troyano».

Al copiar la dirección de Bitcoin del destinatario y pegar, se generará otra muy parecida, pero diferente, que pertenece al hacker que infiltró el virus.

Trojan.Coinbitclip cuenta con una gran cantidad de direcciones de Bitcoin para confundir a los usuarios, seleccionando la coincidencia más cercana al hacer el reemplazo.

Symantec identificó unas 10,000 direcciones de Bitcoin almacenadas en el código de Trojan.Coinbitclip.

Bitcoin Stealer

FortiGuard Labs descubrió un virus llamado Bitcoin Stealer, un malware similar que facilita aún más el engaño, al reemplazar la dirección de BTC por otras con caracteres similares o idénticos al inicio y al final de la cadena, contando con una base de 10.000 direcciones diferentes.

El malware analizado no contiene direcciones que inician con 3 (P2SH), tampoco direcciones que comienzan con bc1 (bech32), sino que se reemplazan por direcciones que inician con 1 (P2PKH).

Además, al tratar de rastrear las transacciones (hash / transaction ID / TXID), los investigadores de seguridad detectaron el uso de «mixers», los llamados mezcladores de Bitcoin, distribuyendo los fondos en pequeñas porciones, que luego se envían a múltiples direcciones de BTC.

Si bien aclaran que no pueden confirmarlo, FortiGuard Labs encontró similitudes de código con Jigsaw Ransomware, aunque con la particularidad en este caso de no bloquear los archivos del usuario y pedir un rescate a cambio.

«Actualmente, no podemos decir si los mismos actores están detrás de la creación de estas dos familias de malware, ya que el código fuente está disponible gratuitamente en la red. Sin embargo, podemos esperar más ataques a las billeteras de bitcoins de los usuarios al aprovechar nuevamente el mismo código fuente, al menos mientras Bitcoin tenga valor».

Pero si se copian dos o más direcciones al mismo tiempo, este malware no puede cambiarlas.

Ver: Rescate en Bitcoin… “Pague y le devolvemos sus archivos”

Evrial

Reportado por BleedingComputer, tras ser descubierto por investigadores del MalwareHunterTeam y Guido Not CISSP, este virus no solo tiene la capacidad de reemplazar direcciones de BTC contenidas en el portapapeles de Windows por otras.

También roba contraseñas almacenadas en el navegador, ficheros ‘wallet.dat’, credenciales de Pidgin y FileZilla, cookies y otros.

Cuando detecta una dirección de Bitcoin copiada en el portapapeles, Evrian la sistituye por una dirección diferente.

Evrial trata de infectar los navegadores Chrome, Yandex, Orbitum, Opera, Amigo, Torch y Comodo.

Virus de la película The Girl in the Spider’s Web

Otro malware de Windows, propagado en este caso a través de The Pirate Bay y disfrazado en el archivo de la película ‘The Girl in the Spider’s Web’.

Además de manipular resultados de búsqueda para mostrar ciertos enlaces, también reemplaza las direcciones de Bitcoin y Ether, reportó en 2019 Bleeding Computer.

Este virus, además, inyecta en la página Wikipedia un banner de donación falso, que engaña diciendo que ahora Wikipedia acepta donaciones de criptomonedas.

Hay varios otros virus con la misma capacidad de copiar una dirección de BTC y pegar otras, como por ejemplo el troyano Qulab Clipper.

Otras amenazas que afectan al usuario de Bitcoin

Hay diferentes clases de virus diseñados para robar fondos de BTC, como ser:

  • Ransomware – Una de las peores. Básicamente, consiste en cifrar el disco duro, archivos y accesos a carpetas y archivos de las víctimas, exigiendo el pago de bitcoins para recuperar sus datos. Un secuestro sin garantías de devolución.
  • Robo de claves privadas de billeteras de Bitcoins, utilizando registradores de pulsaciones de teclado y otras técnicas para localizar datos similares a una clave privada de wallet.
  • Virus mineros – Bots que extraen bitcoins aprovechando el poder de procesamiento inactivo de computadoras ajenas, concretando operaciones de minería de Bitcoin silenciosamente, sin el conocimiento ni consentimiento del usuario.

Ver: 5 scams comunes en el mundo de las criptomonedas

¿Cómo eliminar estos virus?

Ten en cuenta que esta clase de malwares pueden no ser detectados por ciertos antivirus y programas de seguridad. Se ejecutan en segundo plano, algunos de ellos sin afectar otros componentes del sistema.

Incluso con el Windows Defender activo, estos virus podrían pasar desapercibidos.

A la fecha, algunos antivirus y programas que podrían identificar y eliminar Trojan.Coinbitclip, Clipboard Hijackers y otros malwares que reemplazan direcciones de Bitcoin al copiar y pegar incluyen:

  • Symantec
  • ESET-NOD32
  • Kaspersky
  • Norton
  • Probar suerte con un antimalware como Malwarebytes
  • BitDefender

Soluciones pagas

Una persona allegada, que soportó este problema durante 3 días, ejecutó Malwarebytes y luego, el antivirus Norton. Pero cuando quiso eliminar el virus, la PC comenzó a comportarse de forma extraña y desesperante. Hubo que formatear.

Por otra parte, existe un software de antivirus llamado Symantec Endpoint Protection, con firewall, sistema de prevención de intrusiones y otras tecnologías de protección incorporadas, que dice detectar y eliminar específicamente el troyano Trojan.Coinbitclip.

Además, la compañía de seguridad Fortinet provee soluciones de pago que detectan diferentes modificaciones del malware BTC Stealer y Jigsaw Ransomware.

Herramientas de escaneo gratuitas

En el foro MalawareBytes, un usuario comentó que cuando copiaba cualquier dirección de Bitcoin, se pegaba siempre otra y lo mismo sucedía para direcciones de LITC, ETH, BCH.

Intentó solucionarlo con el programa Malwarebytes, pero a pesar de eliminar todas las amenazas detectadas, el problema de copiar una dirección y pegarse otra seguía intacto.

A continuación, algunas de las instrucciones y herramientas gratuitas de escaneo solicitadas por Maurice Naggar, experto del citado foro especializado en erradicar malware, que dieron efectiva solución al problema del usuario.

  • Hacer un escaneo con Microsoft Defender Offline, antivirus y anti-malware de Microsoft, que realiza un escaneo sin conexión que se ejecuta desde un entorno confiable, sin necesidad de iniciar el sistema operativo.
  • Realizar un escaneo completo y gratuito con ESET Online Scanner – 1 hr
  • Descargar y hacer uso de estas herramientas de escaneo:
    • SystemLook (64-bit) de jpshortstuff
    • Silentrunners (silentrunners.vbs)
    • System File Checker
    • Autoruns de Sysinternals

Sin embargo, dado que hay diferentes virus que generan direcciones de Bitcoin reemplazadas al copiar y pegar, no todos se detectarán y resolverán por igual.

Ver: ¿Cómo recuperar Bitcoins si perdí la contraseña del monedero?

¿Cómo prevenir infectarse con estos virus?

Para prevenir infectarse con estos virus que generan direcciones de Bitcoin reemplazadas al copiar y pegar, se sugiere:

  • Instalar un programa de antivirus.
  • Mantener el antivirus siempre actualizado.
  • Todo usuario que haga transacciones de Bitcoin debe verificar, detenida, meticulosa y estrictamente cada dirección que pegue. Estés o no infectado.
  • Utilizar máquinas virtuales en Linux, Docker, sistemas operativos alternativos y más seguros como Tails, entre otros entornos al momento de hacer operaciones.
  • Revisar tu navegador en busca de extensiones que no has instalado voluntariamente.
  • Escanea la PC regularmente con la herramienta anti malware.
  • Uso de un firewall para evitar conexiones indeseadas.
  • Establecer buenas contraseñas.
  • Desactivar la autoreproducción y la opción de compartir archivos y otros servicios similares que puedan facilitar el acceso de virus cuando su utilización no es necesaria
  • No instalar archivos .exe o jar si no se sabe qué se está instalando y si no está seguro de la fuente
  • No almacenar las contraseñas de monederos de criptomonedas en el mismo dispositivo.
  • Tener Malwarebytes para Windows Premium y mantenerlo actualizado.
  • Pensar 2 veces antes de hacer clic sobre enlaces de fuentes no confiables.
  • Antes de hacer clic en un enlace, pasa el mouse sobre él para ver a dónde dirige: si a una URL extraña, incoherente, con errores tipográficos, etc.
  • Asegurarse de que las actualizaciones automáticas de Windows están habilitadas.
  • Mantener actualizados los programas y sistemas utilizados, ya que cada nueva versión busca reparar vulnerabilidades detectadas en versiones anteriores.
  • Realizar copias de seguridad regulares, a través de medios no conectados a Internet.
  • Asegurarse de tener activada la función ‘Restaurar sistema’, servicio de Microsoft que “toma una “instantánea” de archivos de sistema y el registro de Windows y los guarda como puntos de restauración”, explica la página de soporte de Microsoft.
  • Cuidado con los juegos y programas gratuitos, suelen ser una vía de acceso a infecciones de toda clase.
  • Jamás abrir archivos adjuntos enviados desde correos electrónicos inesperados. Si tienes una duda, escanéalo con tu antivirus.
  • Asegurarse de leer y saber qué se acepta al dar clic en ‘Siguiente’ durante el proceso de instalación de un programa. Mucha cautela con instalar softwares de terceros.
  • En vez de usar una cuenta con derechos de administrador para navegar a diario, utilizar una cuenta de usuario estándar, ya que dificulta la posible infección de tu computadora. «Debe utilizar una cuenta de usuario estándar para las actividades diarias, incluso si es el único usuario de la computadora», apunta Blog SecurityGarden, donde se detalla cómo y por qué hacerlo..