Pasamos varios meses investigando una estafa con criptomonedas nueva y muy ingeniosa, en la cual se alentaba de manera lenta y astuta a las víctimas a instalar una aplicación maliciosa de administración de criptomonedas. Sin embargo, los que cayeron en la estafa solo fueron víctimas en la teoría, porque los operadores, como si fueran Robin Hood digitales, apuntaron a… otros ladrones. Analiza en detalle esta estafa con nosotros y descubre cómo proteger tus criptomonedas.
El cebo inicial
Todo comenzó con la recepción de un mensaje bastante trivial sobre las criptomonedas reenviado en Telegram. Otras personas podrían haberlo ignorado, pero como líder del equipo de analistas de contenido web de Kaspersky, decidí investigarlo ya que algo olía mal. Para evadir la detección, el mensaje tenía el formato de un fragmento de vídeo de cinco segundos de duración, que contenía una captura de pantalla en la que se mostraba una venta apresurada y con grandes descuentos de dos lucrativos proyectos de criptomonedas con sus respectivos enlaces. El primer enlace, probablemente diseñado para brindar al destinatario una falsa sensación de seguridad, conducía a un servicio real de cambio de criptomonedas, aunque era uno pequeño. El cebo real se escondía detrás del otro enlace.
Un fallo conveniente en el servidor
Al contrario de lo que se podría esperar, el otro enlace no mostraba contenido malicioso. La situación era mucho más interesante: si introducías la dirección esperando ver una página de inicio, el navegador mostraba una lista del directorio raíz con algunos nombres de archivo atractivos. Parecía como si el servidor se hubiera configurado incorrectamente o la página de inicio se hubiera eliminado por accidente, revelando todos los datos del propietario desprevenido del dominio. Podías hacer clic en cualquier archivo de la lista y ver su contenido directamente en el navegador, ya que, convenientemente, todos ellos tenían formatos comunes y fáciles de manejar, como TXT, PDF, PNG o JPG.
Esto hacía que el visitante sintiera que había llegado a la carpeta de datos personales de un propietario rico, pero torpe, de algún proyecto de criptomonedas. Los archivos de texto contenían detalles de la cartera completos con frases de seguridad, y las imágenes eran capturas de pantalla que mostraban pruebas de que se había enviado una gran cantidad de criptomonedas con éxito, saldos considerables de la cartera y el lujoso estilo de vida del propietario.
Una de las capturas de pantalla tenía un vídeo de YouTube de fondo en el que se explicaba cómo comprar yates y Ferraris con Bitcoin. Un catálogo en PDF de estos yates se puede encontrar fácilmente en el mismo directorio. En pocas palabras, era un cebo muy jugoso.
Carteras reales y efectivo
Esta estafa es ingeniosa porque los detalles de la cartera son reales y, de hecho, se puede acceder a las carteras y ver, por ejemplo, el historial de transacciones de Exodus o los activos de las otras carteras, por un valor de casi 150 000 dólares estadounidenses, según DeBank.
Sin embargo, no podrías retirar nada, ya que los fondos están invertidos, es decir, básicamente inmovilizados en la cuenta. No obstante, esto hace que el visitante sea mucho menos escéptico; parecen ser datos reales de alguien que fueron filtrados por descuido, y no parece tratarse de spam ni phishing. Además, no hay enlaces externos ni archivos maliciosos en ninguna parte, ¡nada es sospechoso!
Supervisamos el sitio durante dos meses y no vimos ningún cambio. Los estafadores parecían estar esperando que se acumulara una masa crítica de usuarios interesados mientras rastreaban su comportamiento con los análisis del servidor web. Después de este largo período de calentamiento, pasaron a la siguiente etapa del ataque.
Una nueva esperanza
La dramática pausa de dos meses finalmente llegó a su fin con una actualización: una nueva captura de pantalla de Telegram que supuestamente muestra un pago exitoso de Monero. Si uno la mira más de cerca, se observa una aplicación de cartera llamada “Electrum-XMR” con un registro de transacciones y un saldo considerable de casi 6000 tokens Monero (XMR), con un valor de aproximadamente un millón de dólares al momento de esta publicación.
Por una afortunada coincidencia, un nuevo archivo de texto con la frase de seguridad de la cartera apareció justo al lado de la captura de pantalla.
A estas alturas, cualquier persona lo suficientemente deshonesta se apresuró a descargar una cartera de Electrum para iniciar sesión en la cuenta del incauto y tomar el dinero restante. Mala suerte: Electrum solo admite Bitcoin, no Monero, y se necesita una clave privada (y no una frase de seguridad) para recuperar el acceso a una cuenta. Al intentar restaurar la clave de la frase de seguridad, todos los convertidores legítimos indicaban que el formato de la frase de seguridad no era válido.
Sin embargo, la codicia nublaba el juicio de los usuarios: después de todo, había un millón de dólares en juego y tenían que darse prisa antes de que alguien más se lo robara. Los deseosos de ganar dinero rápido buscaron “Electrum XMR” o simplemente “Electrum Monero” en Google. El resultado principal era un sitio web en el que aparentemente había una bifurcación de Electrum que admitía Monero.
Su diseño se parecía al del sitio web original de Electrum y, con un código abierto típico, presentaba todo tipo de descripciones, enlaces a GitHub (el repositorio original de Electrum, no Electrum-XMR), una nota que decía explícitamente que se trataba de una bifurcación para admitir Monero y prácticos enlaces directos a los instaladores de macOS, Windows y Linux.
Es en este momento cuando el cazador, sin saberlo, se convierte en presa. La descarga e instalación de Electrum-XMR infecta el ordenador con malware identificado por Kaspersky como Backdoor.OLE2.RA-Based.a, que proporciona a los atacantes acceso remoto encubierto. Lo que hacen a continuación probablemente sea escanear el contenido del ordenador y robar datos de la cartera de criptomonedas y cualquier otra información valiosa.
Nuestra solución de seguridad habría bloqueado el sitio web malicioso, y por supuesto cualquier intento de instalar el troyano, pero los cazadores de criptomonedas ansiosos por hacerse con el dinero de otras personas difícilmente se encuentran entre nuestros usuarios.
De repente, una segunda versión
Algún tiempo después, cuando terminamos de investigar esta hazaña de la ingeniería social, recibimos otro cebo, lo que no fue una sorpresa. Esta vez, los estafadores fueron a toda velocidad. La captura de pantalla mostraba una cartera falsa con un saldo cuantioso junto a un archivo de texto abierto que contenía una gran cantidad de información personal y un enlace a un sitio malicioso cuidadosamente añadido. Aparentemente, esta estafa ha demostrado funcionar bien y nos esperan muchos ataques similares.
Reconocer el ataque
Las víctimas de la estafa que comentamos anteriormente no despiertan ninguna simpatía, viendo cómo mordieron el anzuelo intentando robar el dinero de otras personas. Sin embargo, los estafadores siguen inventando nuevos trucos y, la próxima vez, es posible que te ofrezcan una forma aparentemente ética de ganar dinero. Por ejemplo, es posible que obtengas accidentalmente una captura de pantalla que anuncie un lanzamiento lucrativo, con el enlace directamente en la barra de direcciones…
Por lo tanto, mantente alerta y toma cualquier información con pinzas. Cada etapa del ataque fue sospechosa a su manera. El anuncio de venta del sitio web se presentó en forma de fragmento de vídeo con una captura de pantalla, obviamente para evadir los algoritmos antispam. Un sitio web que no contiene más que archivos de texto no cifrados con datos de una cartera de criptomonedas parece demasiado bueno para ser verdad. El dominio que supuestamente aloja la bifurcación de la cartera de criptomonedas se había registrado solo dos meses antes del ataque. Sin embargo, lo más importante es que el panorama repleto de estafas de las criptomonedas hace que el uso de aplicaciones de cartera poco conocidas sea un riesgo inaceptable. Por lo tanto, sigue estos pasos:
- Usa solo los principales sitios web de cambio y aplicaciones de cartera de criptomonedas que hayan sido comprobados.
- Asegúrate de iniciar sesión solo a través de sitios oficiales y descargar aplicaciones de las fuentes correctas.
- Lee nuestros consejos para detectar a los estafadores en línea.
- Utiliza protección integral para ordenadores y teléfonos inteligentes que evitará que accedas a sitios de phishing o ejecutes malware.
- Suscríbete a nuestro blog o canal de Telegram para ser de las primeras personas en conocer las nuevas amenazas.