PUNTOS IMPORTANTES:
- La empresa ESET advirtió sobre una campaña actual en Discord que busca distribuir una aplicación falsa de billetera de Safemoon.
- Los usuarios son contactados a través de mensajes directos en la plataforma Discord, donde reciben un supuesto enlace para actualizar la aplicación.
- La descarga a través de dicho enlace instala una herramienta que espía y roba información.
Este 21 de septiembre, la compañía de seguridad informática ESET alertó sobre una campaña maliciosa que se encuentra vigente en Discord, dedicada a distribuir una aplicación falsa de billetera del token Safemoon. Según los profesionales de ciberseguridad, dicha app es capaz de instalar una herramienta de acceso remoto o RAT (por sus siglas en inglés), que espía y roba información sin que el usuario afectado lo detecte.
La información fue publicada a través del portal web WeLiveSecurity, que es propiedad de ESET. Allí se divulgó que la primera advertencia fue realizada el pasado mes de agosto por un usuario en Reddit; dicha persona denunciaba que existía un “sitio que suplantaba la identidad de Safemoon”, un token creado en marzo de este año.
La empresa de ciberseguridd explicó que “el engaño estaba circulando a través de Discord”, donde “diferentes cuentas que simulan ser la oficial de Safemoon” se encargaban de contactar a los usuarios “a través de mensajes directos”, en los cuales se les indicaba que estaba realizándose el “lanzamiento de una actualización de la aplicación de billetera desarrollada por los creadores de Safemoon”.
ESET se encargó de verificar el “enlace adjunto” que indicaba ser el presunto “sitio oficial” que estaba incluido en el mensaje, pero se trató de un sitio falso que utiliza “una suplantación de identidad conocida como ataque homográfico”, que es aquella que se produce cuando “el cibercriminal agrega o modifica un carácter del enlace a falsificar”, en este caso el dominio web oficial de Safemoon.
ESET recalcó que el engaño es producido debido a que el sitio falso al que se accede con este enlace es “una copia fiel de una versión antigua del sitio original”, y que los ciberatacantes se encargaron de que cada enlace que se encuentra en este sitio “redirige al sitio real”, a excepción del utilizado “para la descarga de la aplicación mencionada en el mensaje fraudulento”.
En el informe publicado por ESET también se aclaró que la descarga de la aplicación que ofrece el sitio fraudulento es realizada “desde el mismo sitio” al que se accede, en cambio, para descargar a través del sitio oficial de la aplicación, este “ofrece un enlace a la tienda Google Play”.
ESET detalló que “luego de ejecutar el archivo del supuesto instalador de la app, que es un injector bajo el nombre Safemoon-App-v2.0.6.exe, se descargan una serie de archivos, entre ellos el payload de una conocida herramienta de acceso remoto (RAT) llamada Remcos”.
El informe afirma que Remcos es un software legítimo que fue desarrollado “originalmente para administrar y monitorear remotamente dispositivos propios”, pero tiempo después los cibercriminales comenzaron a usarlo “en una gran cantidad de campañas maliciosas“. Debido a esto, en muchos casos terminó categorizándose al software como malware.
Vulnerabilidades en casos detectados
ESET estableció que entre “las funcionalidades más críticas que realiza el RAT Remcos” que fueron halladas en aquellos equipos que han sido vulnerados se encuentran: “la obtención de credenciales de acceso de varios navegadores, como Internet Explorer, Firefox y Google Chrome; el registro de las pulsaciones de teclado del usuario (o keylogging), la captura de audio desde el micrófono de la víctima o la descarga de archivos adicionales de acuerdo al interés del atacante mediante enlaces”.
Además de ello, el mlware que se hace pasar por un software legítimo de Safemoon tiene “la capacidad de realizar acciones” que ayudarían “a otros códigos maliciosos”, para llevar a cabo “su funcionamiento, como lo es la eliminación de archivos o carpetas, o la modificación del fondo de pantalla del usuario”, indicó el equipo de ESET.
Con el auge de las criptomonedas van surgiendo cada vez más modalidades de ciberataques, aprovechando la fiebre que ha habido por proyectos como Safemoon. Otra campaña maliciosa detectada este año, y relacionada también con tokens y criptomonedas, fue dada a conocer en abril de este año por el especialista Oliver Hough, indicando que ciberdelincuentes crearon instaladores falsos de DirectX 12 para sistemas operativos Windows 10.
Tal como reportó Bitfinanzas, el investigador detalló que la descarga de dichos instaladores falsos traía consigo un malware capaz de robar credenciales de monederos de Bitcoin (BTC), y otras criptomonedas como Monero (XMR), teniendo la puerta abierta para hurtar los fondos.
Descargo de responsabilidad: Toda la información encontrada en Bitfinanzas es dada con la mejor intención, esta no representa ninguna recomendación de inversión y es solo para fines informativos. Recuerda hacer siempre tu propia investigación.
Fuente: Bit Finanzas