Una pandilla cibern\u00e9tica de habla rusa conocida como Crazy Evil se ha relacionado con m\u00e1s de 10 estafas de redes sociales activas que aprovechan una amplia gama de se\u00f1uelos a medida para enga\u00f1ar a las v\u00edctimas y enga\u00f1arlas para que instalaran malware como Stealc, Atomic Macos Stealer (tambi\u00e9n conocido como Amos) y. Drenador de \u00e1ngel.<\/p>\n
“Especializado en fraude de identidad, robo de criptomonedas y malware de robo de informaci\u00f3n, Crazy Evil emplea una red bien coordinada de traficantes: expertos en ingenier\u00eda social encargados de redirigir el tr\u00e1fico leg\u00edtimo a las p\u00e1ginas de phishing maliciosas”, registr\u00f3 el grupo insikt de Future’s Future dicho<\/a> en un an\u00e1lisis.<\/p>\n El uso de un grupo de crptocam del arsenal de malware diverso es una se\u00f1al de que el actor de amenaza est\u00e1 dirigido a usuarios de sistemas Windows y MacOS, lo que representa un riesgo para el ecosistema financiero descentralizado.<\/p>\n Se ha evaluado que Crazy Evil est\u00e1 activo desde al menos 2021, que funciona principalmente como un equipo de traficante encargado de redirigir el tr\u00e1fico leg\u00edtimo a las p\u00e1ginas de destino maliciosas operadas por otras tripulaciones criminales. Supuestamente dirigido por un actor de amenaza conocido en Telegram como @abrahamcrazyevil, sirve a m\u00e1s de 4,800 suscriptores en la plataforma de mensajer\u00eda (@CrazyEvilCorp) a partir de la escritura.<\/p>\n “Monetizan el tr\u00e1fico a estos operadores de botet que tienen la intenci\u00f3n de comprometer a los usuarios ampliamente, o espec\u00edficamente a una regi\u00f3n, o un sistema operativo”, dijo la compa\u00f1\u00eda francesa de seguridad cibern\u00e9tica Sekoia en un informe de profundidad sobre los servicios de traficantes en agosto de 2022.<\/p>\n “Por lo tanto, el principal desaf\u00edo que enfrenta el traficante es generar tr\u00e1fico de alta calidad sin bots, no detectados o analizados por los proveedores de seguridad, y finalmente filtrado por el tipo de tr\u00e1fico. En otras palabras, la actividad de los traficantes es una forma de generaci\u00f3n de leads”.<\/p>\n A diferencia de Otras estafas<\/a> Eso gira en torno a la creaci\u00f3n de sitios de compras falsificados para facilitar las transacciones fraudulentas, Crazy Evil se centra en el robo de activos digitales que involucran tokens no fungibles (NFT), criptomonedas, tarjetas de pago y cuentas bancarias en l\u00ednea. Se estima que ha generado m\u00e1s de $ 5 millones en ingresos il\u00edcitos y comprometi\u00f3 decenas de miles de dispositivos a nivel mundial.<\/p>\n Tambi\u00e9n ha ganado una nueva prominencia a ra\u00edz de las estafas de salida que involucran a otros dos grupos de delitos cibern\u00e9ticos Markopolo y Criptolove<\/a>los cuales fueron identificados previamente por Sekoia como responsables de una campa\u00f1a de ClickFix utilizando p\u00e1ginas falsas de Google Meet en octubre de 2024.<\/p>\n “Crazy Evil victimiza expl\u00edcitamente el espacio de criptomonedas con se\u00f1uelos de phishing de lanza a medida”, dijo el futuro grabado. “Los traficantes malvados locos a veces tardan d\u00edas o semanas de tiempo de reconocimiento para alcanzar las operaciones de alcance, identificar objetivos e iniciar compromisos”.<\/p>\n Adem\u00e1s de orquestar cadenas de ataque que entregan robadores de informaci\u00f3n y drenadores de billeteras, los administradores del grupo afirman ofrecer manuales de instrucciones y orientaci\u00f3n para sus formadores y servicios de Crypter para cargas \u00fatiles maliciosas y jactarse de una estructura afiliada para delegar las operaciones.<\/p>\n Crazy Evil es el segundo grupo de delitos cibern\u00e9ticos despu\u00e9s de Telekopye en ser expuesto en los \u00faltimos a\u00f1os, y centra sus operaciones en torno a Telegram. Los afiliados reci\u00e9n reclutados est\u00e1n dirigidos por un bot de telegrama controlado por el actor de amenaza a otros canales privados –<\/p>\n Se ha descubierto que el grupo de delitos cibern\u00e9ticos comprende seis submarcados, Avland, tipado, Deland, Zomland, Defi y Kevland, cada uno de los cuales se ha atribuido a una estafa espec\u00edfica que implica enga\u00f1ar a las v\u00edctimas para instalar la herramienta de sitios web falsos,<\/p>\n “A medida que Crazy Evil contin\u00faa alcanzando el \u00e9xito, es probable que otras entidades cibercriminales emulen sus m\u00e9todos, lo que lleva a los equipos de seguridad a permanecer perpetuamente atentos para evitar infracciones generalizadas y erosi\u00f3n de la confianza dentro de los sectores de criptomonedas, juegos y software”, dijo el futuro registrado.<\/p>\n El desarrollo se produce cuando la compa\u00f1\u00eda de ciberseguridad expuso un sistema de distribuci\u00f3n de tr\u00e1fico (TDS) denominado TAG-124, que se superpone con los grupos de actividad conocidos como Puntuaci\u00f3n 808<\/a>404 tds, kongtuke y Chaya_002<\/a>. M\u00faltiples grupos de amenazas, incluidos los asociados con el ransomware rhysida, el ransomware entrelazado, la embuscada TA866\/asylum, el cargador D3F@CK, y TA582<\/a> se ha encontrado que usan los TD en sus secuencias de infecci\u00f3n iniciales.<\/p>\n “TAG-124 comprende una red de sitios de WordPress comprometidos, servidores de carga \u00fatil controlados por actor, un servidor central, un servidor de administraci\u00f3n sospechoso, un panel adicional y otros componentes,” TI. dicho<\/a>. “Si los visitantes cumplen con criterios espec\u00edficos, los sitios web comprometidos de WordPress muestran las p\u00e1ginas de destino de Google Chrome de Google Chrome, que finalmente conducen a infecciones por malware”.<\/p>\n El futuro registrado tambi\u00e9n se\u00f1al\u00f3 que el uso compartido de TAG-124 refuerza la conexi\u00f3n entre las cepas de ransomware de Rhysida y el enclavamiento, y que las variaciones recientes de las campa\u00f1as TAG-124 han utilizado la t\u00e9cnica ClickFix de instruir a los visitantes que ejecutaran un comando precopado a su portapapeles iniciar la infecci\u00f3n por malware.<\/p>\n Algunas de las cargas \u00fatiles desplegadas como parte del ataque incluyen REMCOS RAT y Cleanuploader (tambi\u00e9n conocido como Broomstick o Oyster), el \u00faltimo de los cuales sirve como un conducto para Ransomware Rhysida y Interlock.<\/p>\n Los sitios de WordPress comprometidos, por un total de m\u00e1s de 10,000, tambi\u00e9n se han descubierto que act\u00faa como un canal de distribuci\u00f3n para Amos y Socgholish como parte de lo que se ha descrito como un ataque del lado del cliente.<\/p>\n “JavaScript cargado en el navegador del usuario genera la p\u00e1gina falsa en un iframe”, el investigador de C\/lateral Himanshu Anand dicho<\/a>. “Los atacantes usan versiones y complementos anticuados de WordPress para dificultar la detecci\u00f3n de sitios web sin una herramienta de monitoreo del lado del cliente”.<\/p>\n Adem\u00e1s, los actores de amenaza han aprovechado la confianza asociada con plataformas populares como Github para alojar instaladores maliciosos que conducen al despliegue de Lumma Stealer y otras cargas \u00fatiles como Sectoprat, Vidar Stealer y Cobalt Strike Beacon.<\/p>\n La actividad de Trend Micro exhibe superposiciones significativas con t\u00e1cticas atribuidas a un actor de amenaza denominado Goblin de Stargazer, que tiene un historial de uso de repositorios de GitHub para la distribuci\u00f3n de la carga \u00fatil. Sin embargo, una diferencia crucial es que la cadena de infecci\u00f3n comienza con sitios web infectados que redirigen a los enlaces de lanzamiento de Github maliciosos.<\/p>\n “El m\u00e9todo de distribuci\u00f3n de Lumma Stealer contin\u00faa evolucionando, con el actor de amenaza que ahora usa repositorios de GitHub para albergar malware”, los investigadores de seguridad Buddy Tancio, Fe Cureg y Jovit Samaniego dicho<\/a>.<\/p>\n “El modelo de malware como servicio (MAAS) proporciona a los actores maliciosos un medio rentable y accesible para ejecutar ataques cibern\u00e9ticos complejos y lograr sus objetivos maliciosos, aliviando la distribuci\u00f3n de amenazas como el robador de Lumma”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Crazy-Evil-Gang-se-dirige-a-Crypto-con-Malware-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
\n
<\/a><\/center><\/div>\n<\/a><\/div>\n