1. Las aplicaciones falsas están integradas con el malware Realst, una herramienta de robo de información. Estos ataques tienen como objetivo datos confidenciales, incluidos identificadores de billeteras de criptomonedas. Se espera que estas aplicaciones estén vinculadas a Corea del Norte, de forma muy parecida al exploit de Radiant Capital, valorado en 50 millones de dólares. Mientras tanto, las autoridades han logrado algunos avances con el arresto de Dmitry V., ex director de WEX, un intercambio de criptomonedas vinculado al fraude y el lavado de dinero.



    Empleados de Web3 amenazados

  2. Los profesionales de Web3 son el objetivo de una sofisticada campaña de malware que utiliza aplicaciones de reuniones falsas para robar información confidencial, incluidos inicios de sesión de sitios web, aplicaciones y billeteras de criptomonedas. Según un informe de Cado Security Labs, los estafadores están utilizando inteligencia artificial para crear sitios web y perfiles de redes sociales aparentemente legítimos para empresas fraudulentas. 

  3. Estas plataformas se utilizan para engañar a los objetivos para que descarguen una aplicación de reunión maliciosa. La aplicación anteriormente se llamaba "Meeten", pero ahora se llama "Meetio" y cambia de marca con frecuencia. Anteriormente operaba bajo dominios como Clusee.com, Meeten.gg y Meetone.gg.

  4. La aplicación contiene malware de robo de información Realst diseñado para extraer información crítica, incluidos ID de Telegram, datos bancarios e ID de billeteras criptográficas, que luego se envía a los atacantes. El malware también puede recopilar cookies del navegador, autocompletar credenciales para navegadores web como Google Chrome y Microsoft Edge, e incluso acceder a datos relacionados con carteras de hardware como Ledger y Trezor, así como carteras de Binance.

  5. La campaña también utiliza tácticas de ingeniería social, y los estafadores a veces se hacen pasar por contactos conocidos para generar confianza. En un caso, un objetivo informó que alguien se acercó en Telegram haciéndose pasar por un colega y recibió una presentación de inversión robada de su propia empresa. Otras víctimas describieron haber participado en llamadas relacionadas con proyectos Web3, descargar el malware y luego perder su criptomoneda.

  6. Aplicación de reunión falsa (Fuente: Cado Security)

  7. Para aumentar aún más su credibilidad, los estafadores han creado sitios web empresariales llenos de blogs, descripciones de productos y cuentas de redes sociales generados por IA en plataformas como X y Medium. Este uso de la IA les permite producir contenido muy atractivo muy rápidamente, lo que hace que sus operaciones fraudulentas sean legítimas y más difíciles de detectar. En algunos casos, sus sitios web falsos incluyen JavaScript que puede robar criptomonedas almacenadas en los navegadores web incluso antes de que se descargue el malware.

  8. La campaña está dirigida tanto a usuarios de macOS como de Windows y ha estado activa durante casi cuatro meses. Se han observado estafas similares en el espacio de las criptomonedas. El investigador ZackXBT descubrió un grupo de 21 desarrolladores, presumiblemente norcoreanos, trabajando en proyectos que utilizan identidades falsas. En septiembre, el FBI también emitió una advertencia sobre los piratas informáticos norcoreanos que implementaban malware disfrazado de ofertas de trabajo para atacar a empresas de criptomonedas y plataformas financieras descentralizadas.

    Grupo norcoreano detrás de la violación de Radiant Capital

  9. Radiant Capital reveló que el hackeo de 50 millones de dólares en su plataforma de finanzas descentralizadas (DeFi) en octubre fue orquestado por un hacker vinculado a Corea del Norte que se infiltró en la plataforma utilizando malware distribuido a través de Telegram. El atacante se hizo pasar por un ex contratista de confianza y envió un archivo zip a un desarrollador de Radiant el 11 de septiembre con el pretexto de pedir comentarios sobre un nuevo proyecto. La empresa de ciberseguridad Mandiant, bajo contrato con Radiant, confirmó con gran confianza que el ataque fue llevado a cabo por un actor de amenazas afiliado a la República Popular Democrática de Corea (RPDC).

  10. El archivo zip malicioso parecía legítimo debido a su naturaleza común en entornos empresariales y se compartía entre los desarrolladores. Esto permitió que el malware infectara varios dispositivos. 

  11. Luego, los atacantes tomaron el control de las claves privadas y los contratos inteligentes, lo que obligó a Radiant a detener sus actividades crediticias el 16 de octubre. El malware también falsificó el sitio web legítimo del contratista, engañando aún más a los desarrolladores. Si bien las comprobaciones tradicionales y las simulaciones de transacciones no revelaron irregularidades, los atacantes manipularon la interfaz de usuario para mostrar datos de transacciones benignos mientras ejecutaban transacciones maliciosas en segundo plano.

  12. El actor de la amenaza ha sido identificado como "UNC4736" o "Citrine Sleet", y está asociado con la Oficina General de Reconocimiento de Corea del Norte y puede ser un subgrupo del infame Grupo Lazarus. Después del ataque, los piratas informáticos transfirieron 52 millones de dólares de los fondos robados el 24 de octubre. Según Radiant, medidas de seguridad aún más avanzadas, incluidas carteras de hardware, herramientas de simulación como Tenderly y procedimientos operativos estándar de la industria, no fueron suficientes contra una amenaza tan sofisticada.

  13. TVL radiante (Fuente: DefiLlama)

  14. El incidente es el segundo compromiso importante para Radiant este año, y se produjo después de un exploit de préstamo rápido de 4,5 millones de dólares en enero. Un ataque de préstamos flash criptográficos es un tipo de exploit en plataformas DeFi donde un atacante aprovecha los préstamos flash para manipular las condiciones del mercado o explotar las vulnerabilidades de los contratos inteligentes. 

  15. Los préstamos flash son préstamos no garantizados que deben pedirse prestados y reembolsarse en una única transacción de blockchain. Los atacantes utilizan estos préstamos para ejecutar secuencias complejas de acciones que pueden, por ejemplo, manipular los precios de los activos, engañar a los contratos inteligentes para liberar fondos o agotar las reservas de liquidez. Como los préstamos y los reembolsos se producen casi instantáneamente, el atacante puede obtener ganancias sin arriesgar su propio capital. 

  16. La serie de hacks ha afectado gravemente la reputación de la plataforma, con su valor total bloqueado cayendo de más de 300 millones de dólares a finales del año pasado a sólo 6,07 millones de dólares al 9 de diciembre, según DefiLlama .

    Las autoridades polacas arrestan al exlíder de WEX, Dmitry V.

  17. Aunque los criptodelitos siguen siendo un problema, las autoridades están trabajando arduamente para llevar a estos delincuentes ante la justicia. Las autoridades polacas arrestaron a Dmitry V., exdirector del intercambio ruso de criptomonedas WEX, en Varsovia después de una solicitud de extradición del Departamento de Justicia de Estados Unidos. 

  18. El nombre completo de Dmitry V. no ha sido publicado debido a las leyes locales. Se le acusa de fraude y blanqueo de capitales durante su gestión de WEX, sucesora de BTC-e. La detención fue confirmada por un portavoz de la policía polaca, quien dijo que Dmitry V. está detenido y a la espera del proceso de extradición. Si es extraditado a Estados Unidos, podría enfrentar una pena máxima de prisión de 20 años.

  19. Dmitry V. fue arrestado y liberado en varios países. En agosto de 2021 fue detenido en Polonia, pero puesto en libertad 40 días después. Fue detenido nuevamente en Croacia en 2022 por Interpol en el aeropuerto de Zagreb tras una solicitud de extradición de Kazajstán. En 2019, las autoridades italianas lo arrestaron, pero luego fue liberado cuando se descubrieron errores en la solicitud de extradición.

  20. WEX colapsó en 2018, dejando aproximadamente 450 millones de dólares sin contabilizar. La plataforma a menudo se describía como un intercambio "oscuro" y era conocida por su falta de verificación de identidad y su participación en el lavado de fondos de hackeos criptográficos de alto perfil, incluida la violación de Mt. Gox. En su apogeo, WEX procesó más de $9 mil millones en transacciones de más de un millón de usuarios, incluidos muchos en los Estados Unidos.

  21. Este último arresto de WEX se produce después de los hechos ocurridos con Alexander Vinnik, exdirector de BTC-e, predecesor de WEX. Vinnik fue apodado "Sr. Bitcoin" y se declaró culpable de conspiración para cometer lavado de dinero en actividades entre 2011 y 2017. Fue arrestado en Grecia en 2017 y luego extraditado a los Estados Unidos en 2022 después de haber cumplido dos años en una prisión francesa.#ScamRiskWarning

    #ScamAlert #Web3 #CryptoNewss