SlowMist ha llamado la atención sobre una nueva estafa de phishing dirigida a usuarios de criptomonedas. La estafa se disfraza de reuniones falsas de Zoom para distribuir malware que roba datos confidenciales. Implica enlaces falsos de Zoom que engañan a las víctimas para que descarguen archivos maliciosos destinados a extraer activos de criptomonedas.

Según la plataforma de seguridad blockchain SlowMist, los atacantes detrás de la estafa utilizaron una sofisticada técnica de phishing que involucraba un dominio que imitaba el dominio legítimo de Zoom. El sitio web de phishing, “app[.]us4zoom[.]us”, se parece mucho a la interfaz del sitio web genuino de Zoom.

⚠️¡Cuidado con los ataques de phishing camuflados en enlaces de reuniones de Zoom!🎣 Los hackers recopilan datos de los usuarios y los descifran para robar información confidencial, como frases mnemotécnicas y claves privadas. Estos ataques suelen combinar técnicas de ingeniería social y troyanos. Lee nuestro análisis completo⬇️… pic.twitter.com/kDExVZNUbv

— SlowMist (@SlowMist_Team) 27 de diciembre de 2024

A las víctimas se les pide que hagan clic en el botón “Iniciar reunión”, que según esperan los llevará a una sesión de Zoom. Sin embargo, en lugar de abrir la aplicación Zoom, el botón inicia la descarga de un archivo malicioso titulado “ZoomApp_v.3.14.dmg”.

Se descubre una estrategia de ejecución de malware y robo de datos

Una vez descargado, el archivo malicioso activa un script que solicita la contraseña del sistema del usuario. El script ejecuta un ejecutable oculto llamado “.ZoomApp”, que está diseñado para acceder y recopilar información confidencial del sistema, incluidas las cookies del navegador, los datos de KeyChain y las credenciales de la billetera de criptomonedas.

Según los expertos en seguridad, el malware está diseñado específicamente para atacar a los usuarios de criptomonedas, con la intención de robar claves privadas y otros datos cruciales de la billetera. El paquete descargado, una vez instalado, ejecutará un script llamado "ZoomApp.file".

Al ejecutarse, el script solicita a los usuarios que ingresen su contraseña del sistema, lo que sin saberlo da a los piratas informáticos acceso a datos confidenciales.

Hackeos de criptomonedas a través de enlaces de Zoom – Fuente: SlowMist

Después de descifrar los datos, SlowMist reveló que el script en última instancia ejecuta un osascript, que transfiere la información recopilada a los sistemas backend de los atacantes.

SlowMist también rastreó la creación del sitio de phishing hasta hace 27 días, sospechando de la participación de piratas informáticos rusos. Estos piratas informáticos han estado utilizando la API de Telegram para monitorear la actividad en el sitio de phishing, rastreando si alguien hizo clic en el enlace de descarga. Según el análisis de la empresa de seguridad, los piratas informáticos comenzaron a atacar a las víctimas ya el 14 de noviembre.

Los fondos robados se movieron a través de varios intercambios

SlowMist utilizó la herramienta de seguimiento en cadena MistTrack para investigar los movimientos de los fondos robados. La dirección del hacker, identificada como 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, habría obtenido más de un millón de dólares en criptomonedas, incluidos USD0++, MORPHO y ETH.

En un análisis detallado, MistTrack reveló que la dirección del hacker había intercambiado USD0++ y MORPHO por 296 ETH.

MistTrack rastrea los movimientos de criptomonedas robadas. Fuente: MistTrack

Una investigación posterior mostró que la dirección del hacker recibió pequeñas transferencias de ETH desde otra dirección, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, que parecía ser responsable de proporcionar tarifas de transacción para el plan del hacker.

Se ha descubierto que la dirección transfiere pequeñas cantidades de ETH a casi otras 8.800 direcciones, lo que sugiere que puede ser parte de una plataforma más grande dedicada a financiar tarifas de transacciones para actividades ilícitas.

Transferencias de ETH entre direcciones vinculadas a la estafa del enlace de Zoom – Fuente: SlowMist

Una vez reunidos los fondos robados, se canalizaron a través de varias plataformas. Binance, Gate.io, Bybit y MEXC se encontraban entre los exchanges que recibieron la criptomoneda robada. Luego, los fondos se consolidaron en una dirección diferente y las transacciones fluyeron hacia varios exchanges, incluidos FixedFloat y Binance. Allí, los fondos robados se convirtieron en Tether (USDT) y otras criptomonedas.

Los delincuentes que están detrás de este esquema han logrado evadir la captura directa mediante el uso de métodos complejos para blanquear y convertir sus ganancias ilícitas en criptomonedas de uso generalizado. SlowMist advirtió a los entusiastas de las criptomonedas que el sitio de phishing y las direcciones asociadas pueden seguir apuntando a usuarios de criptomonedas desprevenidos.

De cero a profesional de la Web3: tu plan de lanzamiento profesional de 90 días