Monederos de criptomonedas bajo ataque: Estafas sociales descubiertas

Los usuarios de criptomonedas vuelven a estar en el punto de mira de una campaña de ciberdelincuencia cada vez más sofisticada. Según nuevos hallazgos de Darktrace, actores maliciosos están explotando las redes sociales, empresas emergentes falsas y plataformas legítimas para engañar a los usuarios y que descarguen malware que les roba la billetera.

Este elaborado esquema de ingeniería social, que salió a la luz a finales de 2024, se ha transformado en una extensa red de identidades falsas, empresas tecnológicas de imitación y canales de comunicación armados, todos diseñados para robar activos digitales. Al imitar la estética y el comportamiento de la IA real, los juegos y... Web3 Empresas y estafadores han logrado vulnerar las defensas de cientos de usuarios desprevenidos.

Una amenaza familiar pero en evolución

Hace casi un año, la empresa de ciberseguridad Cado Security Labs descubrió una campaña dirigida Web3 personas Con plataformas de reuniones fraudulentas. Conocida como la campaña "Meeten", esta utilizaba software de videoconferencia falso para distribuir malware llamado Realst. Se invitaba a las víctimas a unirse a reuniones falsas bajo la apariencia de conversaciones de asociación o inversión. Una vez que descargaban el software, sus dispositivos quedaban comprometidos.

Darktrace ahora ha confirmado que esta campaña seguirá activa en 2025. Las tácticas se han expandido más allá de las aplicaciones de video para incluir empresas falsas de inteligencia artificial, juegos y redes sociales. 

Tara Gould, investigadora de Darktrace, dijo que estas operaciones maliciosas “se hacen pasar por IA, juegos y Web3 empresas” que utilizan cuentas de redes sociales falsas y documentación de proyectos alojada en plataformas legítimas.

Startups ficticias, consecuencias reales

El manual es inquietantemente detallado. Los ciberdelincuentes construyen empresas falsas, con sitios web y blogs convincentes, whitepapers, e incluso perfiles de empleados falsos. X (anteriormente Twitter), Medium, GitHub y Notion se utilizan habitualmente para alojar contenido de proyectos, documentación técnica y hojas de ruta.

Algunas de las estafas más persuasivas se basan en cuentas X verificadas y comprometidas, pertenecientes a personas o empresas reales. Estas cuentas, con miles de seguidores y años de actividad, otorgan credibilidad a los estafadores. 

Una vez creada una empresa falsa, los atacantes lanzan campañas de marketing a gran escala. Publicaciones sobre hitos de desarrollo de software, apariciones en eventos y tiendas de productos llenan sus feeds para aumentar su autenticidad.

Un ejemplo destacado es un estudio de juegos blockchain ficticio llamado “ Decadencia eterna La empresa falsa usó fotos editadas para sugerir que participaba en importantes conferencias, a pesar de que no existía tal juego. Su cuenta de GitHub incluía proyectos clonados de código abierto disfrazados de código original. Incluso se falsificó una lista del Registro Mercantil del Reino Unido mediante un enlace a una empresa real con un nombre similar.

Cómo se selecciona a las víctimas

El ataque suele comenzar en plataformas como X, Discord o Telegram. Un supuesto empleado se pone en contacto con la víctima y le ofrece la oportunidad de probar software en sus primeras etapas a cambio de criptomonedas. 

Se dirige a la víctima a una página de descarga, donde se le proporciona un código de registro y se le indica que instale la aplicación. Según el sistema, descarga una aplicación DMG para macOS o una aplicación Electron para Windows. Estos binarios contienen malware ladrón Realst o similar.

Desde allí, el malware se infiltra silenciosamente en el sistema. Extrae datos del navegador, tokens de autenticación, contraseñas y, lo más importante, claves privadas de las billeteras de criptomonedas. Los usuarios a menudo no se dan cuenta de que sus billeteras han sido comprometidas hasta que pierden sus fondos.

La variante GrassCall

El vector de ataque no se ha mantenido estático. Una campaña relacionada denominada " Llamada de hierba ” surgió recientemente, dirigido a los solicitantes de empleo en el Web3 El malware estaba integrado en una aplicación fraudulenta de reuniones que se promocionaba mediante ofertas de empleo y entrevistas falsas. Las víctimas que descargaron el software, sin saberlo, permitieron que el malware accediera a datos confidenciales de sus dispositivos.

Esta variante, atribuida a un "equipo de traficantes" rusoparlante conocido como Crazy Evil, se basaba en elaboradas identidades falsas de empresas. En un caso, los estafadores se hicieron pasar por "ChainSeeker.io" y crearon una serie completa de cuentas falsas en redes sociales y sitios web profesionales. Incluso pagaron por anuncios premium en portales de empleo como LinkedIn, WellFound y CryptoJobsList para atraer a los clientes. Web3 profesionales en su trampa.

Las víctimas que participaron en estas entrevistas falsas pronto se quedaron sin fondos. Los afectados crearon un grupo de apoyo en Telegram que ofrecía consejos sobre la eliminación de malware y la recuperación del sistema.

Una llamada de atención de 650 millones de dólares

El riesgo no se limita a las personas. Las autoridades federales también han tomado medidas enérgicas contra las estafas a gran escala que explotan el espacio criptográfico. A principios de este año, el Departamento de Justicia de EE. UU. hizo públicas las acusaciones contra Michael Shannon Sims y Juan Carlos Reynoso, los presuntos autores intelectuales de OmegaPro. un esquema piramidal de criptomonedas global .

OmegaPro, que operó entre 2019 y 2023, prometió una rentabilidad del 300 % en 16 meses mediante la compraventa de divisas. Los inversores se sintieron atraídos por las redes sociales, donde Sims y Reynoso mostraron un estilo de vida lujoso e incluso proyectaron el logotipo de la empresa en el Burj Khalifa para simular legitimidad.

El jefe de Investigaciones Criminales del IRS, Guy Ficco, declaró que la estafa "prometía libertad financiera, pero resultó en la ruina financiera". Los dos hombres ahora enfrentan cargos de conspiración para cometer fraude electrónico y lavado de dinero, cada uno con hasta 20 años de prisión.

Después de afirmar que habían sido hackeados, OmegaPro dirigió a las víctimas a una nueva plataforma, Broker Group, de la cual los usuarios tampoco pudieron retirar sus fondos.

El papel de las redes sociales en los delitos financieros

La persistencia y la eficacia de estas estafas ponen de relieve el potencial oculto de las plataformas de redes sociales para facilitar la delincuencia financiera. Al combinar cuentas verificadas, contenido generado por IA, sitios web clonados y código robado, estos estafadores crean ecosistemas que imitan fielmente a las empresas reales. El uso de plataformas como GitHub y Notion añade legitimidad técnica a la artimaña.

Mientras tanto, plataformas como X y Discord permiten la comunicación directa con posibles víctimas. La naturaleza informal de estas plataformas suele reducir el escepticismo, especialmente en el sector de las criptomonedas y... Web3 comunidades donde la divulgación y la colaboración son algo habitual.

Advertencias y medidas defensivas

Los expertos en ciberseguridad recomiendan a los usuarios mantenerse alertas cuando se les contacte para realizar pruebas beta u obtener ofertas de trabajo relacionadas con proyectos de criptomonedas. Incluso si un proyecto parece legítimo, se recomienda a los usuarios verificar los registros de la empresa, los registros de dominio y el historial de las cuentas de redes sociales. Se debe evitar por completo la descarga de software de fuentes desconocidas a menos que se verifique a través de canales de confianza.

João Wedson, director ejecutivo de Alphractal, advirtió a los usuarios que «ataques de bajo volumen como estos pueden pasar fácilmente desapercibidos», pero aun así representan una amenaza considerable. Al imitar a empresas de software reales, estas campañas no solo explotan vulnerabilidades técnicas, sino también la confianza humana.

En resumen

El vaciado de billeteras de criptomonedas mediante sofisticadas estafas en redes sociales no es un fenómeno nuevo, pero se está volviendo más peligroso y de mayor alcance. El auge de la IA y las finanzas descentralizadas ha ampliado la superficie de ataque de los actores maliciosos, permitiéndoles construir engaños intrincados en múltiples plataformas.

Los últimos hallazgos de Darktrace revelan que la amenaza no solo persiste, sino que también está en constante evolución, con empresas falsas y mecanismos de distribución de malware cada vez más complejos. Con entrevistas de trabajo falsas, descargas de software fraudulentas y plataformas de criptomonedas fraudulentas, los usuarios deben navegar por el mundo de las criptomonedas con mayor cautela.

Hasta que las plataformas refuercen la verificación y autenticación de cuentas, y los usuarios adopten medidas de seguridad más estrictas, es probable que estos elaborados esquemas sigan cobrándose víctimas. Como siempre, si algo parece demasiado bueno para ser verdad en el mundo de las criptomonedas, probablemente lo sea.