Los piratas informáticos utilizan enlaces falsos de Zoom para atacar a usuarios de criptomonedas y robar 1 millón de dólares: informe

Se ha descubierto una sofisticada estafa de phishing dirigida a usuarios de criptomonedas, que explota enlaces falsos de reuniones de Zoom para distribuir malware y robar activos.

La operación, expuesta por la firma de seguridad blockchain SlowMist, vio a los piratas informáticos imitar la plataforma de Zoom para comprometer información confidencial, incluidas claves privadas y credenciales de billetera.

Esta campaña maliciosa, activa desde noviembre de 2024, ha resultado en pérdidas financieras significativas, con más de $1 millón rastreado en la billetera Ethereum de un pirata informático.

Los atacantes utilizaron técnicas avanzadas de malware y ofuscación, lo que enfatiza el creciente riesgo de amenazas cibernéticas en la industria criptográfica.

Se despliegan enlaces falsos de Zoom para robar criptomonedas

Los piratas informáticos utilizaron un dominio de phishing, "app[.]us4zoom[.]us", diseñado para replicar la interfaz de Zoom.

Las víctimas fueron engañadas para hacer clic en un botón "Iniciar reunión" que inició una descarga maliciosa en lugar de iniciar la aplicación.

El instalador falso, “ZoomApp_v.3.14.dmg”, ejecutó un script llamado “ZoomApp.file”, lo que provocó que los usuarios ingresaran sus contraseñas del sistema.

Al ejecutarse, el script desplegó un archivo ejecutable oculto, ".ZoomApp", que intentó acceder a información confidencial, incluidas cookies del navegador, datos de KeyChain y credenciales de wallet de criptomonedas .

Estos datos fueron comprimidos y transmitidos a un servidor malicioso asociado a una IP marcada por múltiples servicios de inteligencia de amenazas.

Una investigación más profunda reveló que el malware se dirigía a activos de alto valor al centrarse en usuarios que probablemente tuvieran saldos importantes de criptomonedas.

Los atacantes utilizaron una combinación de ingeniería social y técnicas de codificación avanzadas para eludir los protocolos de seguridad, lo que dificultó la detección de la estafa.

Su capacidad para hacerse pasar por una plataforma de confianza como Zoom demuestra la creciente sofisticación de las operaciones de phishing.

El malware, identificado como un troyano, fue sometido a análisis estático y dinámico.

Mostró capacidades para descifrar datos, extraer credenciales del sistema y acceder a claves privadas y mnemónicos de billeteras.

Estas acciones permitieron el robo de criptomonedas a las víctimas, y los atacantes supuestamente utilizaron scripts en ruso y un sistema de back-end ubicado en los Países Bajos.

El seguimiento en cadena revela Ethereum robado

SlowMist utilizó su herramienta antilavado de dinero, MistTrack, para rastrear criptomonedas robadas.

Se transfirieron más de $1 millón en activos digitales, incluidos Ethereum (ETH), USD0++ y MORPHO, a través de plataformas como Binance, Gate.io y Bybit.

La dirección de un pirata informático consolidó 296 ETH, que luego se distribuyeron a múltiples plataformas.

Otra billetera vinculada a la estafa ejecutó pequeñas transacciones ETH a casi 8.800 direcciones, cubriendo las tarifas de transacción.

Estos fondos robados fueron posteriormente agregados y convertidos en Tether (USDT) y otras criptomonedas a través de intercambios como FixedFloat y Binance.

¿Cómo afecta esto a la seguridad de las criptomonedas?

Esta campaña de phishing subraya la creciente sofisticación de los ciberataques dirigidos a usuarios de criptomonedas.

Aprovechando plataformas populares como Zoom, los atacantes utilizaron técnicas avanzadas para robar información y activos privados.

El incidente destaca la necesidad de una mayor vigilancia, protocolos de seguridad sólidos y educación de los usuarios para evitar una mayor explotación en el espacio de activos digitales en rápida evolución.

Se insta a los gobiernos y a los exchanges de criptomonedas a mejorar sus medidas de detección de fraude y a desarrollar contramedidas más sólidas para combatir tales ataques.

Esto incluye aumentar la conciencia entre los usuarios sobre el reconocimiento de esquemas de phishing y adoptar la autenticación multifactor para proteger sus billeteras.