Trampa con criptomonedas para los codiciosos, o cómo robarle a un ladrón

Los “estafadores gentiles” están atacando a usuarios de criptomonedas deshonestos; para ello, imitan filtraciones de carteras y manipulan a sus víctimas durante meses.

Pasamos varios meses investigando una estafa con criptomonedas nueva y muy ingeniosa, en la cual se alentaba de manera lenta y astuta a las víctimas a instalar una aplicación maliciosa de administración de criptomonedas. Sin embargo, los que cayeron en la estafa solo fueron víctimas en la teoría, porque los operadores, como si fueran Robin Hood digitales, apuntaron a… otros ladrones. Analiza en detalle esta estafa con nosotros y descubre cómo proteger tus criptomonedas.

El cebo inicial

Todo comenzó con la recepción de un mensaje bastante trivial sobre las criptomonedas reenviado en Telegram. Otras personas podrían haberlo ignorado, pero como líder del equipo de analistas de contenido web de Kaspersky, decidí investigarlo ya que algo olía mal. Para evadir la detección, el mensaje tenía el formato de un fragmento de vídeo de cinco segundos de duración, que contenía una captura de pantalla en la que se mostraba una venta apresurada y con grandes descuentos de dos lucrativos proyectos de criptomonedas con sus respectivos enlaces. El primer enlace, probablemente diseñado para brindar al destinatario una falsa sensación de seguridad, conducía a un servicio real de cambio de criptomonedas, aunque era uno pequeño. El cebo real se escondía detrás del otro enlace.

La captura de pantalla del anuncio de venta del proyecto de criptomonedas está envuelta en un fragmento de vídeo de cinco segundos de duración. ¡Esa es una señal de alerta!

La captura de pantalla del anuncio de venta del proyecto de criptomonedas está envuelta en un fragmento de vídeo de cinco segundos de duración. ¡Esa es una señal de alerta!

Un fallo conveniente en el servidor

Al contrario de lo que se podría esperar, el otro enlace no mostraba contenido malicioso. La situación era mucho más interesante: si introducías la dirección esperando ver una página de inicio, el navegador mostraba una lista del directorio raíz con algunos nombres de archivo atractivos. Parecía como si el servidor se hubiera configurado incorrectamente o la página de inicio se hubiera eliminado por accidente, revelando todos los datos del propietario desprevenido del dominio. Podías hacer clic en cualquier archivo de la lista y ver su contenido directamente en el navegador, ya que, convenientemente, todos ellos tenían formatos comunes y fáciles de manejar, como TXT, PDF, PNG o JPG.

Un visitante ve una lista de archivos en la carpeta raíz. No hay un solo archivo HTML

Un visitante ve una lista de archivos en la carpeta raíz. No hay un solo archivo HTML

Esto hacía que el visitante sintiera que había llegado a la carpeta de datos personales de un propietario rico, pero torpe, de algún proyecto de criptomonedas. Los archivos de texto contenían detalles de la cartera completos con frases de seguridad, y las imágenes eran capturas de pantalla que mostraban pruebas de que se había enviado una gran cantidad de criptomonedas con éxito, saldos considerables de la cartera y el lujoso estilo de vida del propietario.

El archivo de texto contiene direcciones, usuarios, contraseñas, frases de seguridad, claves de recuperación, PIN y claves privadas cuidadosamente recolectadas.

El archivo de texto contiene direcciones, usuarios, contraseñas, frases de seguridad, claves de recuperación, PIN y claves privadas cuidadosamente recolectadas.

Una de las capturas de pantalla tenía un vídeo de YouTube de fondo en el que se explicaba cómo comprar yates y Ferraris con Bitcoin. Un catálogo en PDF de estos yates se puede encontrar fácilmente en el mismo directorio. En pocas palabras, era un cebo muy jugoso.

La pantalla muestra una instantánea de la vida de un holgazán rico. Entonces, ¿cuál es la FORMA CORRECTA de comprar la Ferrari y el yate con Bitcoin?

La pantalla muestra una instantánea de la vida de un holgazán rico. Entonces, ¿cuál es la FORMA CORRECTA de comprar la Ferrari y el yate con Bitcoin?

Carteras reales y efectivo

Esta estafa es ingeniosa porque los detalles de la cartera son reales y, de hecho, se puede acceder a las carteras y ver, por ejemplo, el historial de transacciones de Exodus o los activos de las otras carteras, por un valor de casi 150 000 dólares estadounidenses, según DeBank.

La cartera Exodus está vacía, pero es real y alguien la usó recientemente.

La cartera Exodus está vacía, pero es real y alguien la usó recientemente.

Sin embargo, no podrías retirar nada, ya que los fondos están invertidos, es decir, básicamente inmovilizados en la cuenta. No obstante, esto hace que el visitante sea mucho menos escéptico; parecen ser datos reales de alguien que fueron filtrados por descuido, y no parece tratarse de spam ni phishing. Además, no hay enlaces externos ni archivos maliciosos en ninguna parte, ¡nada es sospechoso!

Los saldos de las otras carteras son cuantiosos. Lástima que los fondos estén invertidos (bloqueados).

Los saldos de las otras carteras son cuantiosos. Lástima que los fondos estén invertidos (bloqueados).

Supervisamos el sitio durante dos meses y no vimos ningún cambio. Los estafadores parecían estar esperando que se acumulara una masa crítica de usuarios interesados mientras rastreaban su comportamiento con análisis del servidor web. Después de este largo período de calentamiento, pasaron a la siguiente etapa del ataque.

Una nueva esperanza

La dramática pausa de dos meses finalmente llegó a su fin con una actualización: una nueva captura de pantalla de Telegram que supuestamente muestra un pago exitoso de Monero. Si uno la mira más de cerca, se observa una aplicación de cartera llamada “Electrum-XMR” con un registro de transacciones y un saldo considerable de casi 6000 tokens Monero (XMR), con un valor de aproximadamente un millón de dólares al momento de esta publicación.

Se inicia la fase activa: una cartera que aparentemente contiene alrededor de un millón de dólares.

Se inicia la fase activa: una cartera que aparentemente contiene alrededor de un millón de dólares.

Por una afortunada coincidencia, un nuevo archivo de texto con la frase de seguridad de la cartera apareció justo al lado de la captura de pantalla.

La frase de seguridad de la cartera fue el cebo.

La frase de seguridad de la cartera fue el cebo.

A estas alturas, cualquier persona lo suficientemente deshonesta se apresuró a descargar una cartera de Electrum para iniciar sesión en la cuenta del incauto y tomar el dinero restante. Mala suerte: Electrum solo admite Bitcoin, no Monero, y se necesita una clave privada (y no una frase de seguridad) para recuperar el acceso a una cuenta. Al intentar restaurar la clave de la frase de seguridad, todos los convertidores legítimos indicaban que el formato de la frase de seguridad no era válido.

Sin embargo, la codicia nublaba el juicio de los usuarios: después de todo, había un millón de dólares en juego y tenían que darse prisa antes de que alguien más se lo robara. Los deseosos de ganar dinero rápido buscaron “Electrum XMR” o simplemente “Electrum Monero” en Google. El resultado principal era un sitio web en el que aparentemente había una bifurcación de Electrum que admitía Monero.

La versión "correcta" de la cartera aparece al principio de los resultados de la búsqueda.

La versión “correcta” de la cartera aparece al principio de los resultados de la búsqueda.

Su diseño se parecía al del sitio web original de Electrum y, con un código abierto típico, presentaba todo tipo de descripciones, enlaces a GitHub (el repositorio original de Electrum, no Electrum-XMR), una nota que decía explícitamente que se trataba de una bifurcación para admitir Monero y prácticos enlaces directos a los instaladores de macOS, Windows y Linux.

El sitio web de la aplicación de la cartera falsa está muy bien hecho.

El sitio web de la aplicación de la cartera falsa está muy bien hecho.

Es en este momento cuando el cazador, sin saberlo, se convierte en presa. La descarga e instalación de Electrum-XMR infecta el ordenador con malware identificado por Kaspersky como Backdoor.OLE2.RA-Based.a, que proporciona a los atacantes acceso remoto encubierto. Lo que hacen a continuación probablemente sea escanear el contenido del ordenador y robar datos de la cartera de criptomonedas y cualquier otra información valiosa.

Nuestra solución de seguridad habría bloqueado el sitio web malicioso, y por supuesto cualquier intento de instalar el troyano, pero los cazadores de criptomonedas ansiosos por hacerse con el dinero de otras personas difícilmente se encuentran entre nuestros usuarios.

Nuestra seguridad bloquea el sitio malicioso, y por supuesto cualquier intento de instalar el troyano.

Nuestra seguridad bloquea el sitio malicioso, y por supuesto cualquier intento de instalar el troyano.

De repente, una segunda versión

Algún tiempo después, cuando terminamos de investigar esta hazaña de la ingeniería social, recibimos otro cebo, lo que no fue una sorpresa. Esta vez, los estafadores fueron a toda velocidad. La captura de pantalla mostraba una cartera falsa con un saldo cuantioso junto a un archivo de texto abierto que contenía una gran cantidad de información personal y un enlace a un sitio malicioso cuidadosamente añadido. Aparentemente, esta estafa ha demostrado funcionar bien y nos esperan muchos ataques similares.

En la segunda versión, los estafadores pusieron manos a la obra de inmediato al recolectar toda la información relevante en una captura de pantalla.

En la segunda versión, los estafadores pusieron manos a la obra de inmediato al recolectar toda la información relevante en una captura de pantalla.

Reconocer el ataque

Las víctimas de la estafa que comentamos anteriormente no despiertan ninguna simpatía, viendo cómo mordieron el anzuelo intentando robar el dinero de otras personas. Sin embargo, los estafadores siguen inventando nuevos trucos y, la próxima vez, es posible que te ofrezcan una forma aparentemente ética de ganar dinero. Por ejemplo, es posible que obtengas accidentalmente una captura de pantalla que anuncie un lanzamiento lucrativo, con el enlace directamente en la barra de direcciones…

Por lo tanto, mantente alerta y toma cualquier información entre pinzas. Cada etapa del ataque fue sospechosa a su manera. El anuncio de venta del sitio web se presentó en forma de fragmento de vídeo con una captura de pantalla, obviamente para evadir los algoritmos antispam. Un sitio web que no contiene más que archivos de texto no cifrados con datos de una cartera de criptomonedas se ve demasiado bueno para ser verdad. El dominio que supuestamente aloja la bifurcación de la cartera de criptomonedas se había registrado solo dos meses antes del ataque. Sin embargo, lo más importante es que el panorama repleto de estafas de las criptomonedas hace que el uso de aplicaciones de cartera poco conocidas sea un riesgo inaceptable. Por lo tanto, sigue estos pasos:

Consejos