Los actores maliciosos están desplegando malware para robar criptomonedas utilizando una combinación sofisticada de cuentas falsas en X y bots maliciosos de Telegram.
La firma de seguridad Web3 ScamSniffer ha advertido sobre una nueva estafa dirigida a usuarios de criptomonedas al imitar a influenciadores populares en el espacio y drenar sus billeteras usando malware sigiloso.
El ataque comienza cuando los estafadores crean cuentas falsas en X haciéndose pasar por influyentes populares de criptomonedas y promocionan grupos de Telegram que prometen ofrecer asesoramiento de inversión. Estos grupos suelen ser anunciados como “exclusivos” y generalmente son promovidos bajo las publicaciones de los influenciadores que los estafadores están imitando para hacerlos parecer legítimos.
Cuando los usuarios desprevenidos se unen al grupo a través del enlace de invitación, se les pide que verifiquen utilizando un bot de verificación de Telegram llamado “OfficialSafeguardBot” que, según ScammSniffer, “crea urgencia artificial” al dar a los usuarios muy poco tiempo para completar el captcha.
También te puede interesar: Cado Security Labs señala nuevo malware dirigido a billeteras criptográficas en Windows y macOS
Durante este falso proceso de verificación, el bot inyecta “código PowerShell malicioso”, un lenguaje de scripting utilizado para la automatización de tareas en Windows, en el portapapeles de la víctima, y las víctimas son engañadas para ejecutarlo en Windows mientras el bot lo presenta como un paso necesario para completar el proceso de verificación. Ver abajo.
Bot de verificación de Telegram que solicita a los usuarios ejecutar código malicioso. Fuente: ScamSniffer en X
Según ScamSniffer, ha habido “numerosos casos recientemente” donde se han utilizado tácticas similares para robar las llaves privadas de un usuario. El malware también ha logrado eludir varios antivirus, con solo VirusTotal marcándolo como malicioso.
Para protegerse, se aconsejó a los usuarios que usaran billeteras de hardware, evitar ejecutar comandos desconocidos y no instalar software no verificado.
El informe sigue una advertencia anterior de ScamSniffer sobre un aumento en cuentas falsas en X en diciembre. Notablemente, las cuentas de suplantación han aumentado más del 87% desde noviembre, y dos víctimas perdieron más de $3 millones al hacer clic en enlaces maliciosos promovidos a través de algunas de estas cuentas.
En los últimos meses, los actores de amenazas han recurrido cada vez más al uso de malware diseñado para drenar activos criptográficos. Este aumento coincide con el rally de Bitcoin a $100,000 y un aumento más amplio en altcoins, haciendo que el sector de criptomonedas sea cada vez más lucrativo para los estafadores.
El 9 de diciembre, Cado Security Labs señaló el malware Realst infiltrándose en los sistemas de los usuarios utilizando una aplicación de reuniones falsa después de engañarlos socialmente para que creyeran que necesitaban descargar la aplicación para una oportunidad de negocio legítima o interacción con un contacto de confianza.
Una vez desplegado, el malware roba activos criptográficos, credenciales almacenadas en el navegador, detalles de tarjetas bancarias y otra información sensible.
En octubre, el protocolo de finanzas descentralizadas Radiant Capital perdió más de $50 millones después de que los sistemas de algunos de los desarrolladores de la plataforma fueran comprometidos a través de un archivo PDF comprimido que contenía malware. El ataque involucró ingeniería social, con el archivo infectado siendo promocionado a través de Telegram por un atacante que se hacía pasar por un contratista de confianza anterior.
Lee más: El post-mortem revela que la inyección sigilosa de malware llevó a la explotación de $50 millones de Radiant Capital