Los investigadores de seguridad cibern\u00e9tica han levantado la tapa de dos actores de amenazas que orquestan estafas de inversi\u00f3n a trav\u00e9s de avales de celebridades falsificados y ocultan su actividad a trav\u00e9s de los sistemas de distribuci\u00f3n de tr\u00e1fico (TDSE).<\/p>\n
Los grupos de actividades han sido llamados en c\u00f3digo CDYCless Rabbit y Rushless Rabbit por la firma de inteligencia de amenazas de DNS Informlox.<\/p>\n
Se ha observado que los ataques atraen a las v\u00edctimas con plataformas falsas, incluidos los intercambios de criptomonedas, que luego se anuncian en las plataformas de redes sociales. Un aspecto importante de estas estafas es el uso de formularios web para recopilar datos de usuario.<\/p>\n
“Reckless Rabbit crea anuncios en Facebook que conducen a art\u00edculos de noticias falsos con un respaldo de celebridades para la plataforma de inversi\u00f3n”, los investigadores de seguridad Darby Wise, Piotr Glaska y Laura da Rocha dicho<\/a>. “El art\u00edculo incluye un enlace a la plataforma de estafa que contiene un formulario web integrado que persuade al usuario para que ingrese su informaci\u00f3n personal para que ‘se registre’ para la oportunidad de inversi\u00f3n”.<\/p>\n Algunos de estos formularios, adem\u00e1s de solicitar los nombres, n\u00fameros de tel\u00e9fono y direcciones de correo electr\u00f3nico de los usuarios, ofrecen la capacidad de generar autom\u00e1ticamente una contrase\u00f1a, una informaci\u00f3n clave que se usa para progresar a la siguiente fase del ataque: las verificaciones de validaci\u00f3n.<\/p>\n Los actores de amenaza realizan solicitudes HTTP para las herramientas leg\u00edtimas de validaci\u00f3n de IP, como IPINFO[.]io, ipgeolocation[.]io o ipapi[.]CO, para filtrar el tr\u00e1fico de los pa\u00edses que no les interesa. Los cheques tambi\u00e9n se llevan a cabo para garantizar que los n\u00fameros y las direcciones de correo electr\u00f3nico proporcionadas sean aut\u00e9nticas.<\/p>\n Si el usuario se considera digno de explotaci\u00f3n, posteriormente se enruta a trav\u00e9s de un TDS que los lleva directamente a la plataforma de estafa donde se enfrentan a una separaci\u00f3n con sus fondos prometiendo altos retornos, o a una p\u00e1gina diferente que les indica que esperen una llamada de su representante.<\/p>\n “Algunas campa\u00f1as usan centros de llamadas para proporcionar a las v\u00edctimas instrucciones sobre c\u00f3mo configurar una cuenta y transferir dinero a la plataforma de inversi\u00f3n falsa”, explicaron los investigadores. “Para los usuarios que no pasan el paso de validaci\u00f3n, muchas campa\u00f1as simplemente mostrar\u00e1n una p\u00e1gina de destino de ‘agradecimiento'”.<\/p>\n Un aspecto importante de la actividad es el uso de un algoritmo de generaci\u00f3n de dominio registrado (RDGA) para establecer nombres de dominio para las plataformas de inversi\u00f3n incompletas, una t\u00e9cnica tambi\u00e9n adoptada por otros actores de amenaza como PUMA prol\u00edfico, conejo rev\u00f3lver y VEXTRIO VIPER.<\/p>\n A diferencia de los algoritmos de generaci\u00f3n de dominio tradicionales (DGA), las RDGA utilizan un algoritmo secreto para registrar todos los nombres de dominio. Se dice que Rabbit imprudente ha estado creando dominios desde abril de 2024, principalmente dirigidos a usuarios en Rusia, Rumania y Polonia, al tiempo que excluy\u00f3 el tr\u00e1fico de Afganist\u00e1n, Somalia, Liberia, Madagascar y otros.<\/p>\n Los anuncios de Facebook utilizados para dirigir a los usuarios a los art\u00edculos de noticias falsas est\u00e1n intercalados con contenido publicitario relacionado con art\u00edculos que figuran en venta en mercados como Amazon en un intento por evadir la detecci\u00f3n y la acci\u00f3n de aplicaci\u00f3n.<\/p>\n Adem\u00e1s, los anuncios contienen im\u00e1genes no relacionadas y muestran un dominio se\u00f1uelo (por ejemplo, “Amazon[.]PL “) que es diferente del dominio real que el usuario ser\u00e1 redirigido una vez que hagan clic en el enlace (por ejemplo,” Tyxarai[.]org “).<\/p>\n Se cree que Rushless Rabbit, por otro lado, ha estado ejecutando activamente campa\u00f1as de estafa de inversi\u00f3n desde al menos noviembre de 2022 que est\u00e1n dirigidas a usuarios de Europa del Este. Lo que distingue a este actor de amenaza es que dirigen su propio servicio de encubrimiento (“MCRACTDB[.]tecnolog\u00eda “) para realizar verificaciones de validaci\u00f3n.<\/p>\n Los usuarios que superan los controles de verificaci\u00f3n se enrutan posteriormente a una plataforma de inversi\u00f3n donde se les insta a ingresar su informaci\u00f3n financiera para completar el proceso de registro.<\/p>\n “Un TDS permite a los actores de amenaza fortalecer su infraestructura, haci\u00e9ndola m\u00e1s resistente al proporcionar la capacidad de ocultar contenido malicioso de investigadores y bots de seguridad”, dijo Infloxox.<\/p>\n Esta no es la primera vez que tales campa\u00f1as de estafa de inversi\u00f3n fraudulenta se han descubierto en la naturaleza. En diciembre de 2024, ESET expuso un esquema similar denominado Nomani que utiliza una combinaci\u00f3n de testimonios de videos de malvertici\u00f3n de redes sociales, con la marca de la compa\u00f1\u00eda y los testimonios de video con inteligencia artificial (IA) con personalidades famosas.<\/p>\n Luego, el mes pasado, las autoridades espa\u00f1olas revelaron que han arrestado a seis personas de entre 34 y 57 a\u00f1os por supuestamente dirigir una estafa de inversi\u00f3n de criptomonedas a gran escala que utiliz\u00f3 herramientas de IA para generar anuncios profundos con figuras p\u00fablicas populares para enga\u00f1ar a las personas.<\/p>\n Renee Burton, vicepresidenta de inteligencia de amenazas en Infloxx, dijo a The Hacker News que “tendr\u00edan que echar un vistazo m\u00e1s de cerca para ver si hay alguna evidencia” para determinar si hay alguna conexi\u00f3n entre estas actividades y las realizadas por Rabbit y Ruthless Rabbit sin rutas.<\/p>\n “Los actores de amenaza como los conejos imprudentes y despiadados ser\u00e1n implacables en sus intentos de enga\u00f1ar a tantos usuarios como sea posible”, dijeron los investigadores. “Debido a que este tipo de estafas han demostrado ser altamente rentables para ellos, continuar\u00e1n creciendo r\u00e1pidamente, tanto en n\u00famero como sofisticaci\u00f3n”.<\/p>\n El desarrollo se produce cuando Bitdefender advierte sobre un aumento en las sofisticadas estafas de suscripci\u00f3n que hacen uso de una red de m\u00e1s de 200 sitios web falsos convincentes para enga\u00f1ar a los usuarios para que paguen suscripciones mensuales y compartan los datos de sus tarjetas de cr\u00e9dito.<\/p>\n “Los delincuentes crean p\u00e1ginas de Facebook y sacan anuncios completos para promover la estafa de ‘misterio’ ya cl\u00e1sica y otras variantes”, la compa\u00f1\u00eda rumana dicho<\/a>. “La estafa ‘Mystery Box’ ha evolucionado y ahora incluye pagos recurrentes casi ocultos, junto con enlaces a sitios web a varias tiendas. Facebook se utiliza como la plataforma principal para estas nuevas y mejoradas estafas de caja misteriosa”.<\/p>\n Los anuncios patrocinados por Rogue anuncian las ventas de autorizaci\u00f3n de marcas como Zara u ofrecen la oportunidad de comprar una “caja misteriosa” que contiene productos de Apple y busca atraer a los usuarios al afirmar que pueden obtener uno de ellos pagando una suma m\u00ednima de dinero, a veces tan bajo como $ 2.<\/p>\n Los cibercriminales implementan varios trucos para evitar los esfuerzos de detecci\u00f3n, incluida la creaci\u00f3n de m\u00faltiples versiones del anuncio, solo uno de los cuales es malicioso, mientras que los otros muestran im\u00e1genes de productos aleatorios.<\/p>\n Estas estafas, como las perpetradas por el conejo imprudente y el conejo despiadado, incorporan un componente de encuesta para garantizar que las v\u00edctimas sean personas reales y no bots. Adem\u00e1s, las p\u00e1ginas de pago de los usuarios desprevenidos en un programa de suscripci\u00f3n que obtiene los ingresos recurrentes de los actores de amenaza con el pretexto de darles un descuento.<\/p>\n “Los delincuentes han estado bombeando fondos en anuncios que promueven a los creadores de contenido imitados, utilizando el mismo modelo de suscripci\u00f3n que parece ser ahora el flujo de ingresos impulsores de estas estafas”, dijeron los investigadores de bitdefender R\u0103zvan Gosa y Silviu Stahie.<\/p>\n “Los estafadores a menudo cambian las marcas personificadas, y han comenzado a expandirse m\u00e1s all\u00e1 de las cajas misteriosas existentes. Ahora est\u00e1n tratando de vender productos de baja calidad o art\u00edculos de imitaci\u00f3n, inversiones falsas, suplementos y mucho m\u00e1s”.<\/p>\n Los hallazgos tambi\u00e9n siguen una ola de sanciones impuestas por el Departamento del Tesoro de los Estados Unidos contra el Ej\u00e9rcito Nacional Karen ligado a Myanmar (KNA) para ayudar a los sindicatos de cr\u00edmenes organizados que operan compuestos de estafas multimillonarios, as\u00ed como para facilitar el tr\u00e1fico de personas y los contrabando de la humanidad.<\/p>\n Las acciones tambi\u00e9n objetivo<\/a> El l\u00edder del grupo vio a Chit Thu, y sus dos hijos, vieron htoo eh moo y vieron chit chit. Saw Chit Thu fue sancionado por el Reino Unido en 2023 y la Uni\u00f3n Europea en 2024 por convertirse en un facilitador clave de las operaciones de estafa en la regi\u00f3n.<\/p>\n “Las operaciones de estafa cibern\u00e9tica, como las administradas por la KNA, generan miles de millones en ingresos para los perros criminales y sus asociados, mientras privan a las v\u00edctimas de sus ahorros y sentido de seguridad ganados con tanto esfuerzo”. dicho<\/a> Secretario subsecutivo Michael Faulkender.<\/p>\n En estas llamadas estafas rom\u00e1nticas, los estafadores, que son traficados a los sitios de estafa al atraerlos con trabajos de alto remedio, se ven obligados a dirigirse a extra\u00f1os en l\u00ednea, construir una relaci\u00f3n con ellos con el tiempo, y luego inducirlos a invertir en las plataformas de criptomonedas y comerciales controladas por los actores criminales.<\/p>\n “El KNA se beneficia de los esquemas de estafa cibern\u00e9tica a escala industrial mediante el arrendamiento de tierras que controla a otros grupos de delitos organizados, y brindando apoyo para la trata de personas, el contrabando y la venta de servicios p\u00fablicos utilizados para proporcionar energ\u00eda a las operaciones de estafa”, dijo el departamento del Tesoro. “El KNA tambi\u00e9n proporciona seguridad en los compuestos de estafa en Karen State”.<\/p>\n La Oficina de las Naciones Unidas sobre Drogas y Crimen (UNODC) el mes pasado divulg\u00f3 los centros de estafa todav\u00eda se est\u00e1n expandiendo a pesar de las recientes represiones, generando ganancias anuales por una suma de aproximadamente $ 40 mil millones.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Nuevas-estafas-de-inversion-usan-anuncios-de-Facebook-dominios-RDGA.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\nLas estafas de caja misteriosa proliferan a trav\u00e9s de anuncios de Facebook<\/h3>\n
<\/a><\/div>\n<\/a><\/center><\/div>\nSanciones del Tesoro de EE. UU. Milicia vinculada a la junta en Myanmar sobre compuestos de estafa<\/h3>\n