Una estafa de criptomonedas no detectada previamente ha aprovechado una constelación de más de 1,000 sitios web fraudulentos para atrapar a los usuarios en un esquema de recompensas falsas desde al menos enero de 2021.
«Es probable que esta campaña masiva haya provocado que miles de personas sean estafadas en todo el mundo», investigadores de Trend Micro. dicho en un informe publicado la semana pasada, vinculándolo a un actor de amenazas de habla rusa llamado «Equipo Impulso».
«La estafa funciona a través de un fraude de tarifas avanzadas que consiste en engañar a las víctimas haciéndoles creer que han ganado una cierta cantidad de criptomonedas. Sin embargo, para obtener sus recompensas, las víctimas deberán pagar una pequeña cantidad para abrir una cuenta en su sitio web. «
La cadena de compromiso comienza con un mensaje directo propagado a través de Twitter para atraer a los posibles objetivos a visitar el sitio señuelo. Desde entonces, la cuenta responsable de enviar los mensajes ha sido cerrada.
El mensaje insta a los destinatarios a registrarse para obtener una cuenta en el sitio web y aplicar un código de promoción especificado en el mensaje para ganar una recompensa en criptomoneda por valor de 0,78632 bitcoins (unos 20 300 dólares).
Pero una vez que se configura una cuenta en la plataforma falsa, se solicita a los usuarios que activen la cuenta haciendo un depósito mínimo por valor de 0,01 bitcoin (alrededor de $258) para confirmar su identidad y completar el retiro.
«Si bien es relativamente considerable, la cantidad necesaria para activar la cuenta palidece en comparación con lo que los usuarios obtendrían a cambio», señalaron los investigadores. «Sin embargo, como era de esperar, los destinatarios nunca obtienen nada a cambio cuando pagan el monto de la activación».
Un canal público de Telegram que registra cada pago realizado por las víctimas muestra que las transacciones ilícitas han dejado a los actores un poco más de $5 millones entre el 24 de diciembre de 2022 y el 8 de marzo de 2023.
Trend Micro dijo que descubrió cientos de dominios relacionados con este fraude, y algunos de ellos estaban activos desde 2016. Todos los sitios web falsos pertenecen a un «proyecto criptográfico fraudulento» afiliado con nombre en código Impulse que se anuncia en los foros rusos de ciberdelincuencia desde febrero de 2021. .
Al igual que las operaciones de ransomware como servicio (RaaS), la empresa requiere que los actores afiliados paguen una tarifa para unirse al programa y compartir un porcentaje de las ganancias con los autores originales.
Para darle a la operación una apariencia de legitimidad, se cree que los actores de la amenaza crearon una versión similar de una conocida herramienta anti-estafa conocida como ScamDoc, que asigna un puntaje de confianza para diferentes sitios web, en un intento plausible de hacer pasar la criptomoneda incompleta. servicios como confiables.
Trend Micro dijo que también tropezó con mensajes privados, videos en línea y anuncios en otras redes sociales como TikTok y Mastodontelo que indica que los afiliados están utilizando una amplia gama de métodos para publicitar la actividad fraudulenta.
«El actor de amenazas agiliza las operaciones para sus afiliados al proporcionar alojamiento e infraestructura para que puedan ejecutar estos sitios web fraudulentos por su cuenta», dijeron los investigadores. «Entonces, los afiliados pueden concentrarse en otros aspectos de la operación, como ejecutar sus propias campañas publicitarias».
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
La noticia de la estafa de obsequios falsos coincide con una nueva ola de ataques de robo de criptomonedas orquestados por un actor de amenazas denominado Escurridor rosa que se ha descubierto que se hacen pasar por periodistas para tomar el control de las cuentas de Discord y Twitter de las víctimas y promover esquemas criptográficos falsos.
Según estadísticas recopiladas por ScamSnifferPink Drainer ha comprometido con éxito 2307 cuentas a partir del 11 de junio de 2023 para robar activos digitales por valor de más de 3,29 millones de dólares.
Los hallazgos también se producen semanas después de que Akamai revelara una renovada campaña rumana de cryptojacking llamada Diicot (anteriormente Mexals) que emplea un módulo de gusano Secure Shell (SSH) basado en Golang y un nuevo esparcidor LAN para la propagación.
Luego, el mes pasado, Elastic Security Labs detallado el uso de un rootkit de código abierto llamado r77 para implementar el minero de criptomonedas XMRig en varios países asiáticos.
“El objetivo principal de r77 es ocultar la presencia de otro software en un sistema conectando importantes API de Windows, lo que lo convierte en una herramienta ideal para los ciberdelincuentes que buscan llevar a cabo ataques sigilosos”, dijeron los investigadores.
«Al aprovechar el rootkit r77, los autores del criptominero malicioso pudieron evadir la detección y continuar su campaña sin ser detectados».
Vale la pena señalar que el rootkit r77 también está incorporado en SeroXenuna variante incipiente de la herramienta de administración remota Quasar que se vende por solo $ 30 por una licencia mensual o $ 60 por un paquete de por vida.