Zak Cole, desarrollador principal Ethereum fue recientemente víctima de un ataque de phishing. El atacante disfrazó un enlace como una invitación para participar en un podcast. Según Zak, el intento se basó en dominios falsos y un instalador malicioso para robardenty datos de criptomonedas de su ordenador.
Cole escribió un hilo de 21 publicaciones en X el lunes por la noche, comenzando con cómo comenzó la estafa con un mensaje directo en X invitándolo a "¡Unirse a nuestro podcast!"
2/21
— zak.eth (@0xzak) 15 de septiembre de 2025
Todo comenzó con un mensaje directo en Twitter que decía: "¡Únete a nuestro podcast!".
El atacante (@0xMauriceWang) se hizo pasar por alguien de @theempirepod. Parecía legítimo tras una lectura rápida, así que acepté. Luego recibí un correo electrónico de [email protected] con un enlace de @StreamYard. El texto decía… pic.twitter.com/fEvazOVFs5
El remitente, que usaba el nombre de usuario @0xMauriceWang en la plataforma social, se hizo pasar por un representante del podcast Empire de Blockwork y envió un correo electrónico desde lo que Zak dijo que parecía "un dominio de podcast legítimo"
Un phisher intentó "ayudar" a Zak a instalar una aplicación maliciosa
Según el desarrollador principal de Ether, el correo electrónico incluía un enlace que se mostraba como streamyard.com, pero en realidad tenía un hipervínculo a streamyard.org. Cuando Cole hizo clic, la página devolvió un mensaje de "error al unirse" y le indicó que descargara una aplicación de escritorio para continuar.
En las capturas de pantalla que Cole compartió en su hilo X, se negó a realizar la instalación al principio debido a las políticas de seguridad de su empresa, pero el atacante le rogó que la agregara "solo por esta vez", incluso enviando un video tutorial para demostrar cómo instalar la supuesta aplicación.
"Amigo, es StreamYard; tienen más de 3 millones de usuarios. Yo también tengo una laptop corporativa, pero todo va bien. La versión del navegador apenas funciona; quizá 1 de cada 20 intentos se conecta. Estoy bastante seguro de que la mantienen como estrategia de marketing, pero en la práctica todos terminan usando la app de escritorio. Mucho más estable...", decía el mensaje.
Fue entonces cuando Cole vio “banderas rojas por todas partes” y descargó el paquete en una máquina de laboratorio controlada en lugar de en su computadora de trabajo.
Dentro del archivo DMG, encontró un binario Mach-O oculto llamado “.Streamyard”, un cargador Bash y un ícono de Terminal falso destinado a engañar a los usuarios para que lo arrastren para obtener acceso a nivel del sistema.
Describió el cargador como una "muñeca rusa de mierda", explicando cómo concatenaba fragmentos base64, los descifraba con una clave, recodificaba el resultado y lo ejecutaba. Cada paso tenía como objetivo evadir la detección del antivirus.
“Descodificado sin conexión, Stage2 era un AppleScript que encontraba el volumen montado, copiaba .Streamyard a /tmp/.Streamyard, eliminaba la cuarentena con xattr -c, chmod +x y luego lo ejecutaba. Silencioso, quirúrgico y letal”, explicó el desarrollador, anotando la línea de código.
Cole agregó que si una víctima deshabilitaba macOS Gatekeeper o caía en el truco de phishing de arrastrar la Terminal, el malware habría exfiltrado silenciosamente todo, incluidas contraseñas, billeteras de criptomonedas, correos electrónicos, mensajes y fotos.
La conversación con el atacante revela servicios de malware contratados
En lugar de cerrar la operación, Cole se unió a una llamada en vivo con el estafador después de pedirle ayuda, quien parecía nervioso y leyó un guión mientras intentaba guiarlo a través de la instalación falsa.
Durante la sesión de videollamada, el programador de Ether comenzó a compartir la pantalla, desplazándose por una carpeta de videos explícitos de Kim Jong Un para desequilibrar al atacante.
Mientras presionaba para obtener respuestas sobre por qué no funcionaba, el estafador admitió que no era parte de una operación respaldada por el estado, sino que estaba en una comunidad activa de piratas informáticos que habían alquilado un kit de phishing por alrededor de $3,000 al mes.
Cole señaló que el atacante usaba expresiones coloquiales como "mate" para engañar a las víctimas haciéndoles creer que residía en el Reino Unido o cerca de Estados Unidos. El atacante también reveló que no controlaba la infraestructura directamente ni podía gestionar los dominios de carga útil, y que utilizaba un "ciberdelito económico como servicio"
14/21
— zak.eth (@0xzak) 15 de septiembre de 2025
El truco fue que usaron https://t.co/3gJrz4EVIl para la entrega (load.*.php?call=stream endpoints) y https://t.co/NqE3HGJVms (@streamyardapp) como señuelo y ambos ahora están quemados (gracias @_SEAL_Org). pic.twitter.com/B0zbCmxzpj
Según los hallazgos de la firma de inteligencia de seguridad colaborativa VirusTotal, la infraestructura de distribución utilizada fue lefenari.com, que alojaba cargas útiles mediante endpoints con scripts, y streamyard.org, como señuelo. Ambos dominios están ahora deshabilitados con la ayuda de la firma de ciberseguridad Security Alliance.
