Un ataque sofisticado está apuntando a profesionales de web3, engañándolos para que ejecuten código malicioso en sus sistemas durante entrevistas falsas como parte de una oferta lucrativa de estafadores de criptomonedas disfrazados de reclutadores.
El 28 de diciembre, la investigadora de cadena Taylor Monahan señaló un nuevo esquema que están aprovechando los malos actores que afirman ser reclutadores de importantes firmas de criptomonedas para acercarse a objetivos con ofertas de trabajo lucrativas en plataformas como LinkedIn, plataformas de freelancing, Telegram, etc.
Una vez que la víctima está interesada, es redirigida a una plataforma de entrevistas en video llamada “Willo | Entrevistas en Video”, que no es maliciosa en sí misma, pero está diseñada para hacer que todo el esquema parezca convincente para las víctimas.
Como parte del proceso, se les pregunta inicialmente a las víctimas sobre cuestiones estándar relacionadas con la industria, como sus opiniones sobre tendencias significativas de criptomonedas en los próximos 12 meses. Estas preguntas ayudan a generar confianza y hacen que la interacción parezca legítima.
Sin embargo, el verdadero ataque se desata durante la pregunta final, que requiere grabarlo en video. Al intentar configurar el proceso de grabación de video, las víctimas encuentran un problema técnico con su micrófono o cámara.
Es en este momento cuando se desarrolla el verdadero ataque, ya que el sitio web presenta pasos de solución de problemas maliciosos disfrazados como una solución al problema.
También te puede interesar: Estafadores de criptomonedas ordenados a pagar $5 millones por el esquema Ponzi de IcomTech
Según Monahan, si un usuario sigue los pasos, que en algunos casos implican ejecutar comandos a nivel de sistema dependiendo de sus sistemas operativos, esto otorga a los atacantes acceso de puerta trasera a sus dispositivos.
Una guía de solución de problemas presentada a las víctimas para arreglar un supuesto fallo técnico | Fuente: Taylor Monahan en X
“Les permite hacer cualquier cosa en tu dispositivo. No es realmente un ladrón de propósito general, es acceso de propósito general. En última instancia, te arruinarán por cualquier medio que sea necesario,” escribió Monahan.
Este acceso podría permitir potencialmente a actores maliciosos eludir medidas de seguridad, instalar malware, monitorear actividades, robar datos sensibles o drenar billeteras de criptomonedas sin el conocimiento de la víctima, según los resultados típicos observados en ataques similares.
Monahan aconsejó a los usuarios de criptomonedas evitar ejecutar código desconocido y recomendó a aquellos que puedan haber estado expuestos a tales ataques borrar completamente sus dispositivos para prevenir más compromisos.
El ataque se desvía de las tácticas habituales observadas en estafas de reclutamiento laboral similares. Por ejemplo, la firma de ciberseguridad Cado Security Labs, a principios de este mes, descubrió un esquema que involucraba una aplicación de reunión falsa que inyectaba malware, permitiendo a los atacantes drenar billeteras de criptomonedas y robar credenciales almacenadas en el navegador.
Del mismo modo, el año pasado, crypto.news informó sobre un incidente en el que reclutadores estafadores apuntaron a desarrolladores de blockchain en Upwork, instruyéndolos a descargar y depurar paquetes npm maliciosos alojados en un repositorio de GitHub. Una vez ejecutados, estos paquetes desplegaron scripts que otorgaban a los atacantes acceso remoto a los dispositivos de las víctimas.
Lee más: Estafadores de criptomonedas secuestran la cuenta de X de Skip Bayless para promover SKIP y respaldar a Trump