La firma de ciberseguridad Kaspersky ha descubierto un fraude único dirigido a ladrones de criptomonedas. El esquema atrae a los oportunistas potenciales con billeteras de criptomonedas aparentemente cargadas, solo para siphon sus fondos cuando intentan acceder a la trampa. Esta astuta táctica demuestra la creciente sofisticación de los ciberdelincuentes en el espacio de activos digitales.

Según Kaspersky, los principales estafadores se hacen pasar por usuarios de criptomonedas ingenuos al compartir públicamente frases semilla, las claves necesarias para acceder a billeteras de criptomonedas, en comentarios de YouTube. Estos comentarios, publicados por cuentas recién creadas, a menudo incluyen un pedido de ayuda para transferir fondos de una billetera supuestamente con activos significativos.

“Los estafadores han inventado un nuevo truco… Publican frases semilla de billeteras de criptomonedas en comentarios de YouTube usando cuentas recién creadas,” detalló el analista de Kaspersky Mikhail Sytnik en una reciente publicación de blog.

No hay honor entre ladrones – Cómo funciona el fraude con claves privadas

Una billetera observada por Kaspersky contenía aproximadamente $8,000 en USDT en la red Tron. Para acceder a estos fondos, un ladrón primero necesitaría enviar TRX, el token nativo de la blockchain, para cubrir las tarifas de la red.

Operaciones fraudulentas: Fuente – Tron Network

El esquema principalmente se aprovecha de individuos que buscan explotar el supuesto error “tonto” de otros. Una vez dentro de la billetera trampa, estos ladrones digitales la encuentran llena de USDT, un token TRC20 vinculado al dólar estadounidense.

Dado que la billetera carece de suficiente TRX para retiros, se les pide que envíen fondos desde sus propias billeteras. Esta acción activa el “siphon”, desviando el TRX a la dirección del estafador.

Operaciones fraudulentas: Fuente – Tron Network

Los estafadores han manipulado el sistema, y tan pronto como se envía el TRX, se redirige inmediatamente a una billetera separada controlada por los atacantes, dejando al ladrón con las manos vacías.

El análisis de Kaspersky comparó a los estafadores con Robin Hoods digitales, atacando a actores poco éticos en el espacio de criptomonedas. Sin embargo, las verdaderas víctimas siguen siendo aquellos que dejan que su codicia supere su precaución.

La empresa de seguridad está instando a los usuarios de criptomonedas a ser cautelosos con el uso repetido de frases semilla idénticas en múltiples comentarios. Esto podría ser una operación bien planeada y coordinada para robar sus activos.

Campañas de estafa dirigidas a usuarios de criptomonedas

Los hallazgos de Kaspersky se extienden más allá de los fraudes con frases semilla. En agosto, el equipo de Respuesta Global a Emergencias (GERT) de la compañía identificó una campaña de fraude más grande dirigida a usuarios de Windows y macOS en todo el mundo.

Esta operación emplea sitios web falsos pulidos para imitar servicios legítimos, como plataformas de criptomonedas, juegos de rol en línea y herramientas de IA. Estas sofisticadas imitaciones están diseñadas para atraer a las víctimas a compartir información sensible o descargar malware.

“La correlación entre diferentes partes de esta campaña y su infraestructura compartida sugiere una operación bien organizada, posiblemente vinculada a un único actor o grupo con motivos financieros específicos,” declaró Ayman Shaaban, Jefe de Respuesta a Incidentes de GERT de Kaspersky.

Apodada “Tusk”, la investigación de Kaspersky reveló que la campaña incluye varias sub-operaciones dirigidas a temas relacionados con criptomonedas, juegos e IA. La infraestructura maliciosa también se extiende a 16 otros temas, ya sea sub-campañas retiradas o nuevas que aún no se han lanzado.

Cadenas de código malicioso descubiertas durante la investigación mostraron comunicación entre los servidores de los atacantes en ruso, con referencias al término “Mamut” (“Мамонт”), argot para “víctima” entre actores de amenazas de habla rusa. Esta pista lingüística contribuyó al nombre de la campaña.

La campaña Tusk emplea malware info-stealer como Danabot y Stealc, así como clippers que monitorean el portapapeles, algunos de los cuales son variantes de código abierto escritas en Go. Los info-stealers extraen credenciales, detalles de billeteras y otra información sensible, mientras que los clippers interceptan direcciones de billeteras de criptomonedas copiadas al portapapeles, reemplazándolas por direcciones maliciosas controladas por los atacantes.

De Cero a Pro en Web3: Tu Plan de Lanzamiento Profesional de 90 Días