Los estafadores de criptomonedas utilizan malware falso de Zoom para robar fondos

Un nuevo criptomalware se dirige a los usuarios de la plataforma de videoconferencias basada en la nube Zoom. El malware redirige a los usuarios a un sitio web malicioso para robar sus criptoactivos.

Descubierto por el ingeniero de ciberseguridad “NFT_Dreww” el 22 de julio, el sitio web malicioso imita fielmente el enlace de videollamada original de Zoom.

Comienza con la ingeniería social

Inicialmente, el ataque comienza cuando el estafador se acerca a la víctima e intenta engañarla para que se una a una videollamada. NFT_Dreww dice que las tácticas comunes implican que el atacante ofrezca oportunidades de inversión ángel o pida a la víctima que se una como invitada en X espacios.

Los perfiles X de los estafadores están diseñados para que parezcan participantes promedio del mercado de cifrado. Para parecer legítimos, suelen adornarimágenes de perfil NFT y afirman estar relacionados con varios proyectos.

La estafa opera mediante la creación de URL de Zoom falsas como *.us50web[.]us, que se parecen a las legítimas como usXXweb.zoom[.]us. Incluyen ID de reuniones y contraseñas reales en las URL falsas para que parezcan auténticas.

NFT_Dreww enfatizó que el "-" en la URL es parte del dominio de nivel superior, no un subdominio, lo que confunde a muchos usuarios.

Diferencia entre dominio Zoom original versus dominio malicioso. Fuente: NFT_Dreww en X

Si un usuario acepta unirse, los atacantes insisten en usar únicamente Zoom, alegando que su equipo ya está de guardia.

Cómo funciona

Una vez que se hace clic en el enlace, el usuario es redirigido a una página de Zoom maliciosa pero de aspecto idéntico con una pantalla de carga que parece bloqueada.

Allí, se activa una descarga de un archivo denominado "ZoomInstallerFull.exe" y se le pide al usuario que instale el archivo. El proceso de instalación parece genuino e incluso muestra una página de términos y condiciones.

Cuando se instala, el usuario regresa a la pantalla de carga maliciosa, que luego redirige a los usuarios a una URL legítima de Zoom. Mientras tanto, el malware ya se ha instalado en el sistema de la víctima.

Inicialmente, el malware se agrega a la “lista de exclusión de Windows Defender”, lo que impide que el software de seguridad lo bloquee. Posteriormente, extrae la información del usuario del sistema. Todo el proceso se ejecuta mientras el usuario está atrapado en la página de carga falsa de Zoom.

Según el experto en seguridad, la estafa ya ha agotado más de 300.000 dólares en fondos de varios usuarios. Instó a los usuarios a tener cuidado al hacer clic en enlaces recibidos en las redes sociales y evitar descargar cualquier software.

Las estafas de ingeniería social se vuelven más sofisticadas a medida que el sector criptográfico continúa desarrollándose. El 2 de julio, los estafadores piratearon la dirección de correo electrónico oficial de la Fundación Ethereum y enviaron correos electrónicos de phishing a más de 35.000 usuarios.

Estafas de este tipo han resultado en el robo de activos de criptomonedas por valor de más de $300 millones de cadenas EVM solo en la primera mitad de 2024.