Un nuevo hackeo en la ciudad: usuarios de criptomonedas advierten sobre ataques de phishing camuflados en enlaces de reuniones de Zoom

SlowMist ha llamado la atención sobre una nueva estafa de phishing dirigida a usuarios de criptomonedas. La estafa se disfraza de reuniones falsas de Zoom para distribuir malware que roba datos confidenciales. Implica enlaces falsos de Zoom que engañan a las víctimas para que descarguen archivos maliciosos destinados atraccriptomonedas.

Según la plataforma de seguridad blockchain SlowMist, los atacantes responsables de la estafa emplearon una sofisticada técnica de phishing que utilizaba un dominio que imitaba el dominio legítimo de Zoom. El sitio web de phishing, "app[.]us4zoom[.]us", se parece mucho a la interfaz del sitio web original de Zoom. 

⚠️¡Cuidado con los ataques de phishing disfrazados de enlaces de reuniones de Zoom!🎣 Los hackers recopilan datos de los usuarios y los descifran para robar información confidencial como frases mnemotécnicas y claves privadas. Estos ataques suelen combinar técnicas de ingeniería social y troyanos. Lee nuestro análisis completo⬇️… pic.twitter.com/kDExVZNUbv

— SlowMist (@SlowMist_Team) 27 de diciembre de 2024

Se les pide a las víctimas que hagan clic en el botón "Iniciar reunión", que esperan les lleve a una sesión de Zoom. Sin embargo, en lugar de abrir la aplicación Zoom, el botón inicia la descarga de un archivo malicioso llamado "ZoomApp_v.3.14.dmg"

Se descubre una estrategia de ejecución de malware y robo de datos 

Una vez descargado, el archivo malicioso activa un script que solicita la contraseña del sistema del usuario. Este script ejecuta un archivo ejecutable oculto llamado ".ZoomApp", diseñado para acceder y recopilar información confidencial del sistema, como cookies del navegador, datos de KeyChain ydentde monederos de criptomonedas. 

Según expertos en seguridad, el malware está diseñado específicamente para usuarios de criptomonedas, con la intención de robar claves privadas y otros datos cruciales de su billetera. El paquete descargado, una vez instalado, ejecutará un script llamado "ZoomApp.file"

Al ejecutarse, el script solicita a los usuarios que ingresen su contraseña del sistema, lo que sin que ellos lo sepan les da acceso a datos confidenciales. 

Tras descifrar los datos, SlowMist reveló que el script finalmente ejecuta un osascript, que transfiere la información recopilada a los sistemas backend de los atacantes.

también tracSlowMist la creación del sitio de phishing hasta hace 27 días, sospechando la participación de hackers rusos. Estos hackers han estado utilizando la API de Telegram para monitorear la actividad en el sitio de phishing, tracsi alguien hizo clic en el enlace de descarga. Según el análisis de la empresa de seguridad, los hackers comenzaron a atacar a las víctimas ya el 14 de noviembre.

Los fondos robados se movieron a través de varias bolsas 

en cadena tracherramienta deTracpara investigar los movimientos de los fondos robados. La dirección del hacker,dentcomo 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, habría generado ganancias de más de 1 millón de dólares en criptomonedas, incluyendo USD0++, MORPHO y ETH.

En un análisis detallado, MistTrack reveló que la dirección del hacker había intercambiado USD0++ y MORPHO por 296 ETH.

Investigaciones posteriores mostraron que la dirección del hacker recibió pequeñas transferencias de ETH desde otra dirección, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, que parecía ser responsable de proporcionar tarifas de transacción para el plan del hacker. 

Se ha descubierto que la dirección transfiere pequeñas cantidades de ETH a casi 8.800 otras direcciones, lo que sugiere que puede ser parte de una plataforma más grande dedicada a financiar tarifas de transacciones para actividades ilícitas.

Una vez reunidos los fondos robados, se canalizaron a través de diversas plataformas. Binance, Gate.io, Bybit y MEXC se encontraban entre las plataformas que recibieron las criptomonedas robadas. Posteriormente, los fondos se consolidaron en una dirección diferente, y las transacciones se dirigieron a varias plataformas, como FixedFloat y Binance. Allí, los fondos robados se convirtieron en Tether (USDT) y otras criptomonedas.

Los delincuentes responsables de este esquema han logrado evadir la captura directa mediante métodos complejos para blanquear y convertir sus ganancias ilícitas en criptomonedas de uso generalizado. SlowMist advirtió a los entusiastas de las criptomonedas que el sitio de phishing y las direcciones asociadas podrían seguir atacando a usuarios de criptomonedas desprevenidos.