Los investigadores de ciberseguridad están llamando la atención sobre un nuevo tipo de estafa de inversión que aprovecha una combinación de publicidad maliciosa en las redes sociales, publicaciones con marcas de empresas y testimonios en video impulsados por inteligencia artificial (IA) en los que aparecen personalidades famosas, lo que en última instancia conduce a pérdidas financieras y de datos.
“El objetivo principal de los estafadores es llevar a las víctimas a sitios web y formularios de phishing que recopilan su información personal”, señaló ESET en su informe. Informe de amenazas del segundo semestre de 2024 compartido con The Hacker News.
La empresa eslovaca de ciberseguridad está rastreando la amenaza bajo el nombre Nomaniun juego de palabras con la frase “sin dinero”. Dijo que la estafa creció más del 335% entre el primer y el segundo semestre de 2024, con más de 100 nuevas URL detectadas diariamente en promedio entre mayo y noviembre de 2024.
Los ataques se desarrollan a través de anuncios fraudulentos en plataformas de redes sociales, en varios casos dirigidos a personas que previamente han sido estafadas utilizando señuelos relacionados con Europol e INTERPOL para contactarlos en busca de ayuda o obtener el reembolso del dinero robado haciendo clic en un enlace.
Estos anuncios se publican a partir de una combinación de perfiles legítimos falsos y robados asociados con pequeñas empresas, entidades gubernamentales y microinfluencers con decenas de miles de seguidores. Otros canales de distribución incluyen compartir estas publicaciones en Messenger y Threads, así como compartir reseñas engañosamente positivas en Google.
“Otro gran grupo de cuentas que difunden con frecuencia anuncios de Nomani son perfiles recién creados con nombres fáciles de olvidar, un puñado de seguidores y muy pocas publicaciones”, señaló ESET.
Se ha descubierto que los sitios web a los que dirigen estos enlaces solicitan su información de contacto e imitan visualmente a los medios de noticias locales; abusar de logotipos y marcas de organizaciones específicas; o afirmar anunciar soluciones de gestión de criptomonedas con nombres en constante cambio como Quantum Bumex, Immediate Mator o Bitcoin Trader.
En el siguiente paso, los ciberdelincuentes utilizan los datos recopilados de los dominios de phishing para llamar directamente a las víctimas y manipularlas para que inviertan su dinero en productos de inversión inexistentes que muestran falsamente ganancias fenomenales. En algunos casos, las víctimas son engañadas para que soliciten préstamos o instalen aplicaciones de acceso remoto en sus dispositivos.
“Cuando estas víctimas ‘inversores’ solicitan el pago de las ganancias prometidas, los estafadores los obligan a pagar tarifas adicionales y a proporcionar más información personal, como identificación y datos de tarjetas de crédito”, dijo ESET. “Al final, los estafadores se quedan con el dinero y los datos y desaparecen, siguiendo la típica estafa de matanza de cerdos”.
Hay evidencia que sugiere que Nomani es obra de actores de amenazas de habla rusa, dada la presencia de comentarios del código fuente en cirílico y el uso de herramientas Yandex para el seguimiento de visitantes.
Al igual que en las principales operaciones de estafa como Telekopye, se sospecha que existen diferentes grupos que se encargan de gestionar todos y cada uno de los aspectos de la cadena de ataque: robo, creación y abuso de metacuentas y anuncios, construcción de la infraestructura de phishing y ejecución del centros de llamadas.
“Al utilizar técnicas de ingeniería social y generar confianza con las víctimas, los estafadores a menudo superan incluso los mecanismos de autorización y las llamadas telefónicas de verificación que los bancos utilizan para prevenir el fraude”, dijo ESET.
El desarrollo se produce cuando las agencias de aplicación de la ley de Corea del Sur dijeron que desmantelaron una red de fraude a gran escala que defraudó casi 6,3 millones de dólares a las víctimas con plataformas comerciales en línea falsas como parte de una operación llamada MIDAS. Se incautaron más de 20 servidores utilizados por la red de fraude y se arrestó a 32 personas involucradas en el plan.
Además de atraer a las víctimas con SMS y llamadas telefónicas, los usuarios de los programas del sistema ilícito de comercio interno (HTS) se sintieron atraídos a invertir sus fondos viendo videos de YouTube y uniéndose a las salas de chat de KakaoTalk.
“El programa se comunica con los servidores de firmas de corretaje reales para obtener información sobre el precio de las acciones en tiempo real y utiliza bibliotecas de gráficos disponibles públicamente para crear representaciones visuales”, informó el Instituto de Seguridad Financiera (K-FSI) dicho en una presentación realizada en la conferencia Black Hat Europe la semana pasada.
“Sin embargo, no se realizan transacciones de acciones reales. Más bien, la característica principal del programa, una función de captura de pantalla, se utiliza para espiar las pantallas de los usuarios, recopilar información no autorizada y negarse a devolver dinero”.