Darktrace advierte sobre estafas de ingeniería social que despliegan malware para robar criptomonedas

Investigadores de la empresa de ciberseguridad Darktrace han advertido que los actores de amenazas están utilizando tácticas de ingeniería social cada vez más sofisticadas para infectar a las víctimas con malware de robo de criptomonedas.

En su último blog, los investigadores de Darktrace detallaron una elaborada campaña en la que se descubrió que los estafadores estaban impersonando a startups de IA, juegos y Web3 para engañar a los usuarios y hacer que descargaran malware.

El esquema se basa en cuentas X verificadas y comprometidas, así como en la documentación del proyecto alojada en plataformas legítimas, para crear una ilusión de legitimidad.

Según el informe, la campaña generalmente comienza con impostores que contactan a posibles víctimas en X, Telegram o Discord. Haciéndose pasar por representantes de nuevas startups, ofrecen incentivos como pagos en criptomonedas a cambio de probar software.

Las víctimas son luego dirigidas a sitios web de empresas pulidos diseñados para imitar a startups legítimas, completos con libros blancos, hojas de ruta, entradas de GitHub e incluso tiendas de mercancías falsas.

Una vez que un objetivo descarga la aplicación maliciosa, aparece una pantalla de verificación de Cloudflare, durante la cual el malware recopila silenciosamente información del sistema, como detalles del CPU, dirección MAC y ID de usuario. Esta información, junto con un token CAPTCHA, se envía al servidor del atacante para determinar si el sistema es un objetivo viable.

Si la verificación tiene éxito, se entrega sigilosamente una carga útil de segunda etapa, típicamente un ladrón de información, que luego extrae datos sensibles, incluidas las credenciales de la billetera de criptomonedas.

Se han detectado versiones del malware tanto para Windows como para macOS, con algunas variantes de Windows que se sabe que utilizan certificados de firma de código robados de empresas legítimas.

Según Darktrace, la campaña se asemeja a las tácticas utilizadas por grupos "traffer", que son redes de ciberdelincuentes que se especializan en generar instalaciones de malware a través de contenido engañoso y manipulación de redes sociales.

Aunque los actores de la amenaza permanecen sin identificar, los investigadores creen que los métodos utilizados son consistentes con los vistos en campañas atribuidas a CrazyEvil, un grupo conocido por atacar comunidades relacionadas con las criptomonedas.

“CrazyEvil y sus subequipos crean empresas de software falsas, similares a las descritas en este blog, utilizando Twitter y Medium para atacar a las víctimas,” escribió Darktrace, añadiendo que se estima que el grupo ha generado “millones de dólares en ingresos a partir de su actividad maliciosa.”

Una amenaza recurrente

Se han detectado campañas de malware similares en múltiples ocasiones a lo largo de este año, y se ha encontrado que una operación vinculada a Corea del Norte estaba utilizando actualizaciones falsas de Zoom para comprometer dispositivos macOS en empresas de criptomonedas.

Se informó que los atacantes estaban implementando una nueva variante de malware llamada "NimDoor", entregada a través de una actualización de SDK maliciosa. La carga útil de múltiples etapas estaba diseñada para extraer credenciales de billetera, datos del navegador y archivos encriptados de Telegram, mientras mantenía la persistencia en el sistema.

En otro caso, se descubrió que el infame grupo de hackers norcoreano Lazarus se hacía pasar por reclutadores para atacar a profesionales desprevenidos utilizando una nueva cepa de malware llamada “OtterCookie”, que se implementó durante sesiones de entrevistas falsas.

A principios de este año, un estudio separado de la firma de forense blockchain Merkle Science encontró que las estafas de ingeniería social estaban principalmente dirigidas a celebridades y líderes tecnológicos a través de cuentas X hackeadas.