La plataforma antifraude Web3, ScamSniffer, ha informado de un aumento considerable de las estafas de malware en la plataforma de mensajería social Telegram. Según la empresa, las estafas de malware grupal en Telegram aumentaron un 2000 % entre noviembre de 2024 y enero de 2025.
Esta nueva forma de ataque comenzó a cobrar importancia a finales de 2024 y sigue creciendo de forma alarmante. Con esta táctica, los ciberdelincuentes utilizan grupos falsos y bots de verificación para distribuir malware que puede acceder a los dispositivos de los usuarios y robar sus activos.
Estos grupos fraudulentos, generalmente anunciados como grupos exclusivos de alfa, airdrop o de intercambio, incitan a los usuarios a ejecutar código malicioso o instalar software de verificación falso para unirse al canal. Una vez ejecutados, estos códigos y software permiten a los cibercriminales acceder completamente a los dispositivos de los usuarios, donde pueden recopilar información confidencial para robar sus activos.
Scam Sniffer escribió:
“Una vez que ejecuta su código o instala su software de “verificación”, pueden acceder a sus contraseñas, buscar archivos de billetera, monitorear su portapapeles y robar datos del navegador”
Si bien es difícil determinar cuánto se ha perdido debido a este nuevo vector de ataque, Scam Sniffer notó el aumento en el número de este tipo de estafas, lo que sugiere que está funcionando.
Los ataques de malware vienen en múltiples variantes
Las estafas de malware de Telegram tienen diversas variantes que complican la situación a los usuarios. En una variante, los atacantes piden a los usuarios que ingresen su número de teléfono y código de inicio de sesión para la verificación, en lugar de ejecutar código o instalar software. Sin embargo, el número de teléfono y el código de inicio de sesión les dan acceso a las cuentas de Telegram de los usuarios y les permiten tomar el control.
Además de usar Telegram, los atacantes también ejecutan la misma táctica mediante páginas de verificación falsas de Cloudflare que distribuyen código malicioso al portapapeles. La página falsa suele contener un mensaje solicitando una verificación adicional y solicitando al usuario que ejecute el comando Windows + R. Si lo consigue, el malware se integra en el dispositivo y se añade al inicio de Windows.
Dado que estos actores maliciosos utilizan diversas variantes de la misma estafa, los expertos en seguridad han instado a los usuarios a ser más cautelosos con los enlaces que hacen clic y el software que instalan. Scam Sniffer señaló que la mayoría de este malware suele contener invitaciones que prometen a los usuarios no tener que firmar nada ni conectar su billetera, mientras que algunos incluso les piden unirse a grupos para recibir actualizaciones en tiempo real.
La empresadentalgunos bots falsos que utilizan los estafadores, como OfficialSafeguardRobot, SafeguardsAuthenticationBot y safeguardoff_bot. Todos estos bots tienen nombres similares a los de los bots de verificación reales, con sutiles errores ortográficos y modificaciones para engañar a los usuarios.
Dado que se desconoce el alcance y el impacto totales de estas nuevas tácticas de estafa, los expertos señalaron que la mejor protección para los usuarios es no ejecutar nunca un comando desconocido, instalar software no verificado ni usar la verificación por clip. Como observó Scam Sniffer, ningún proyecto de criptomonedas genuino requiere que los usuarios ejecuten un código para unirse a un grupo.
Cambio al malware de Telegram debido a la conciencia de los usuarios sobre el phishing
Scam Sniffer afirma que los cibercriminales adoptaron estas nuevas tácticas porque los usuarios ahora son más conscientes de las tácticas tradicionales de phishing. Si bien el phishing sigue generando pérdidas significativas, con casi 500 millones de dólares perdidos en 2024, la empresa de seguridad señaló que losdenthabituales de phishing se han mantenido estables en los últimos dos meses.
Más allá de su novedad, de Telegram tienen un impacto más devastador. Este malware otorga a los atacantes mayor acceso a los dispositivos de los usuarios, lo que les permite hackear múltiples billeteras y causar más estragos utilizando la información confidencial que obtienen de los dispositivos de las víctimas.
Curiosamente, los hackers no solo se hacen pasar por influencers de criptomonedas para promocionar sus grupos falsos. También utilizan páginas falsas de proyectos legítimos de criptomonedas para atacar a comunidades e invitarlas a unirse a ellos. Un rastreador de estafasdentinvitaciones a grupos falsos de Telegram atribuidos a proyectos como Scoutly, Fridon AI, Build y Hiero.
