El experto en seguridad criptográfica ZachXBT ha compartido una grabación de video en su cuenta X, donde expone a un hacker conocido como vKevin durante una sofisticada estafa a través de un bot falso de Safeguard en Telegram. Se cree que el atacante colaboraba con otros participantes en la estafa mientras estudiaba en una escuela de Nueva York.
El 23 de enero, ZachXBT, una figura reconocida en la comunidad de investigación de criptomonedas, publicó un video de 31 minutos en la plataforma de redes sociales X que captaba a 'vKevin' usando Telegram para estafar a las víctimas. En el video, se ve a 'vKevin' colaborando con cómplices mientras participaba en actividades de phishing dirigidas a víctimas desprevenidas.
El analista de seguridad criptográfica respondió a una publicación realizada por el usuario @pcaversaccio, quien había advertido a la comunidad criptográfica sobre la nueva táctica engañosa en Telegram, que describió como la "mayor amenaza de seguridad en este momento"
Amigos, la mayor amenaza para la seguridad ahora mismo es que la gente ejecute código a ciegas, invoque comandos desconocidos o instale aplicaciones solo porque alguien o sitio web desconocido se lo ordenó. Ejemplo: ¡Dejen de ejecutar esos comandos _maliciosos_ de PowerShell a ciegas solo porque...! pic.twitter.com/vuBDabQJNY
— sudo rm -rf –no-preserve-root / (@pcaversaccio) 23 de enero de 2025
La estafa consistía en engañar a las víctimas para que verificaran sudentmediante un bot falso de Safeguard. Esto permitía al hacker obtener acceso no autorizado a sus cuentas de Telegram y, posteriormente, a las billeteras de sus bots de trading. Una vez allí, los atacantes podían robarles los activos, hasta cientos de miles de dólares en algunos casos.
Investigadoresdentuna nueva y peligrosa estafa de bots en Telegram
Según una explicación de la firma de seguridad blockchain SlowMist, la estafa de la falsa protección de Telegram utiliza dos métodos de infiltración. Los estafadores pueden usar el bot para solicitar a los usuarios que proporcionen información privada, como contraseñas y códigos de verificación. También pueden instalar virus maliciosos para hackear computadoras y robar información directamente.
En el artículo publicado el 18 de enero, SlowMist describió cómo actores maliciosos crean cuentas falsas de líderes de opinión clave (KOL) en X, adjuntando estratégicamente enlaces de invitación a grupos de Telegram en los comentarios para trac víctimas potenciales.
Los usuarios que se unen a las "comunidades" a través del enlace reciben solicitudes para un proceso de "verificación". Si siguen los pasos, un agente troyano de acceso remoto (RAT) malicioso ejecuta comandos de PowerShell que comprometen cualquier instalación de seguridad, lo que permite al hacker acceder al sistema sin autorización.
Luego de la publicación de ZachXBT, un usuario preguntó si el hacker 'vKevin' había sido víctima de doxing, a lo que ZachXBT confirmó con un simple "sí"
Él va a tener bolsillos en la cárcel.
— NoSoyElLobo (@NoSoyElLobo) 23 de enero de 2025
(y sí, te ves feo, hermano) pic.twitter.com/DKcomKIk6M
En una de las respuestas, un usuario compartió una foto del supuesto explotador, aunque aún no se han revelado algunos detalles específicos, como su ubicación inmediata o con quién estaba trabajando.
El mismo hacker fue responsable de la violación del servidor de Discord en 2022
vKevin fue presuntamente responsable de otra brecha de seguridad en la red que provocó que de NFT perdieran más de $300,000 el 14 de agosto de 2022. La actualización fue revelada por el usuario @Iamdeadlyz. Explicó cómo el hacker atacó el Discord de DigikongNFT al implementar un webhook en forma de un bot falso de MEE6 dentro del servidor.
Este bot fue diseñado para facilitar un ataque de phishing mediante un bookmarklet para extraer tokens de autenticación de Discord de los usuarios. El sitio de phishing vinculado a este ataque estaba alojado en mee6.ca/verify , un dominio registrado a través del servicio web Namecheap y alojado en AWS con la dirección IP 23.22.5.68.
— iamdeadlyz (@Iamdeadlyz) 14 de agosto de 2022
de Discord de
@DigikongNFT /famousfoxfedaration.netlify.app 🌐 @Netlify @NetlifySupport
🚩 @ solana fm
3HZmQ7TVkhcuPu5jb349LARJYP8LMVC7U31qsCuYCkso
Los mismos actores maliciosos detrás del ataque @AI_Roulette
ID @Discord del impostor https://t.co/3K6MiIE3Ky pic.twitter.com/NxENWxTrsW
La evidencia de las acciones de vKevin se compartió en el canal general del servidor de Discord, aunque la mayor parte de la información confidencial fue redactada.
Namecheap confirmó más tarde que había suspendido el servicio abusivo en respuesta a esta violación de seguridad, pero vKevin y otros piratas informáticos ya se habían apoderado de las colecciones de NFT.
