Piratas informáticos desarrollan billeteras de Web3 para criptomonedas que pueden robarte todos tus fondos en 1 segundo

Investigadores de la agencia de seguridad de anuncios digitales Confiant, identificaron a un grupo de ciberdelincuentes chinos denominados SeaFlower (Anémona de mar), una organización pirata que viene trabajando desde el mes de marzo y su principal objetivo es distribuir billeteras falsas de criptomonedas, similares a las que ofrecen los portales oficiales y en apenas unos segundos pueden vaciar los fondos disponibles del usuario que la instale en su dispositivo.

La firma de seguridad apunta que este grupo tiene una vinculación con una organización más grande, de la cual aún están siguiendo las pistas. Para lograr ejecutar el fraude, los delincuentes se valen de elementos altamente sofisticados con la intención de realizar la clonación de los códigos, atacando especialmente las versiones móviles de populares wallet de criptomonedas.

Billeteras Web3 con puerta trasera para robarte

Directamente esta organización no actúa sobre las aplicaciones oficiales, estas mantienen su legitimidad y funcionamiento seguro. La agencia de investigación sostiene que su modo de operación es diferente al de otros grupos, ya que lo que crean es una versión de puerta trasera con el objetivo de robar.

As promised, my blogpost is finally out Meet SeaFlower intrusion set. Lot to come this part 1 will show how they sideload backdoored iOS #web3 wallets like MetaMask and CoinBase and how they inject Malicious react native bundles, crazy stuff 😨@zachxbt 👀https://t.co/pb1RtTgWnb

— bored taha (@lordx64) June 12, 2022

Básicamente, el trabajo de SeaFlower consiste en elaborar y configurar un sitio web clonado en el que se ofrecen versiones de wallet de Coinbase, MetaMask, TokenPocket e imToken. Una vez que cualquier persona da la opción de descargar, en el paquete viene incluido un troyano que inserta un código que se encarga de filtrar la información para ser manipulada remotamente, con lo cual se tiene acceso a los fondos disponibles. Seguidamente se mueven en fracción de segundos a otra ubicación y así se ejecuta la estafa de criptomonedas.

El proceso es altamente sofisticado. Por un lado se valen del posicionamiento SEO específicamente en dos motores de búsqueda chinos, que son Baidu y Sogou. En ellos se logra que en los primeros puestos aparezcan los portales fraudulentos, de esta forma cuando alguien coloca la palabra clave, los principales resultados son de los sitios envenenados, logrando un gran tráfico a estas páginas web.

Por otra parte, para las versiones de iOS se utilizan los perfiles de aprovisionamiento, que son una combinación de los certificados de la aplicación con los de distribución. Ya se lograron identificar claramente los códigos que se estaban empleando y Apple los canceló inmediatamente.

Los voceros de Confiant ahora buscarán profundizar más en las ramificaciones que tiene la organización criminal, el tipo de servidores que utilizan y si tienen alguna vinculación con los buscadores que se manejan en el posicionamiento. Todos esos datos serán aportados en un próximo informe en el que seguramente habrá mayores detalles sobre el tema.

Las criptomonedas siguen siendo blanco de estafas

Según la Comisión Federal de Comercio, desde comienzos del año 2021 hasta el presente, la cifra de pérdidas por estafas de criptomonedas supera los 1000M€, de los cuales 321 millones fueron durante los primeros tres meses del 2022. El informe detalla que uno de los motivos por el que aumentan los robos es que muchos no están completamente familiarizados con el funcionamiento del dinero digital.

No es de sorprender, que con un 70%, el Bitcoin, la criptomoneda más popular y utilizada, aparezca en el primer lugar en cuanto a estafas, seguida por Tether y Ether con un 10% y 9% respectivamente. El principal medio por el que se promueve el fraude es en las redes sociales y el rango de edad en que mayormente los usuarios son víctimas de los ciberdelincuentes es entre 21 y 49 años.

Uno de los métodos que más ha dado resultados es colocar un anuncio en Facebook en el que prometen multiplicar una pequeña inversión en miles de euros en apenas una semana. Después piden que solicites información y para enviártela debes agregar los datos personales. Es probable que al principio se vean las ganancias pero después van solicitando mayores inversiones, ves los ingresos virtualmente pero con el tiempo te darás cuenta de que es imposible retirar los fondos.

El otro método de robo es utilizando el hackeo. Un caso ocurrió el 4 de junio, fecha en la que piratas informáticos ingresaron a los servidores de Bored Ape Yacht Club (BAYC) y robaron unos 350.000€, cifra que corresponde a 200 ETH.

Todo ello sucedió después de varios ataques consecutivos a su red informática, comenzando en el mes de abril hasta que lograron concretar la estafa. Esta pérdida se une a las bajas que han tenido en los últimos meses los precios del NFT, que alcanzan el 60% debido a la inestabilidad de la economía.

Pero ese no es el único caso, muchas empresas de NFT han sido víctimas de ataques por parte de los hackers, los cuales en muchos casos se apoderan de los bots con la intención de convencer a los usuarios de que realicen inversiones en falsos proyectos valiéndose de tácticas de phishing.