Hoy en día, descargar cualquier cosa de Internet es una apuesta arriesgada: puedes pensar que estás descargando una aplicación inocua de una empresa legítima, pero gracias al uso inteligente de la IA y algo de ingeniería social, puedes terminar con malware que roba información y criptomonedas.
Un ejemplo concreto: los investigadores de Cado Security Labs informaron recientemente sobre sitios web creados para hacerse pasar por empresas que ofrecen una aplicación de videoconferencia, pero que sirven/promueven el ladrón de información Realst.
Preparación y ejecución de la estafa
Para empezar, los delincuentes crean sitios web con la ayuda de herramientas de inteligencia artificial para crear la ilusión de que pertenecen a empresas legítimas. También crean cuentas en Twitter y Medium, por si acaso.
Después de preparar el escenario, los delincuentes tratan de alcanzar a sus objetivos.
En un caso denunciado, un conocido se puso en contacto con un usuario a través de Telegram (o eso creían). La cuenta de Telegram se creó para hacerse pasar por un contacto de la víctima, según los investigadores de Cado, y el estafador incluso le envió una presentación de inversiones de la empresa de la víctima.
Otros usuarios informan que estuvieron en llamadas relacionadas con el trabajo de Web3 y recibieron instrucciones de descargar el software.
Los dominios de los sitios web y la aplicación que se ofrecen para descargar utilizan variaciones de la palabra Meeten.
“La empresa cambia de nombre periódicamente; también se llamó Clusee[.]com, Cuesee, Meeten[.]gg, Meeten[.]us, Meetone[.]gg y actualmente se llama Meetio”, compartieron los investigadores .
Además de albergar ladrones de información, los sitios web de Meeten también contienen código para robar criptomonedas incluso antes de que se instale la aplicación de video falsa.
“Las criptomonedas se almacenan en monederos que pueden adoptar muchas formas. Por un lado, están los monederos de hardware, que son dispositivos independientes que almacenan claves de criptomonedas por separado de una computadora. Otro tipo de monedero es una extensión del navegador web que podría ser atacada a través de JavaScript en un sitio web malicioso”, dijo Paul Scott, ingeniero de soluciones de Cado Security a Help Net Security.
“Si un usuario tiene su billetera desbloqueada en su navegador y visita un sitio web malicioso, el JavaScript del sitio verifica automáticamente si hay billeteras desbloqueadas presentes e intentará transferir criptomonedas a una billetera que controle el atacante”.
Esta campaña en particular parece estar dirigida a personas que trabajan con tecnologías Web3 (por ejemplo, blockchain) y ha estado activa aproximadamente cuatro meses.
El malware
Las aplicaciones falsas son en realidad variantes para macOS y Windows del ladrón de información Realst, que fue descubierto por primera vez en 2023 por el investigador de seguridad iamdeadlyz .
El malware busca robar credenciales de Telegram; credenciales de llavero; cookies del navegador y credenciales almacenadas en los navegadores Chrome, Opera, Brave, Edge, Arc, CocCoc y Vivaldi; billeteras Ledger, Trezor, Phantom y Binance; y detalles de tarjetas bancarias.
Actualmente es imposible decir si Realst es un malware comercial o creado a medida por un actor de amenazas específico.
«Durante nuestra investigación no encontramos ninguna evidencia de que se vendiera en mercados», dijo Tara Gould, directora de investigación de amenazas en Cado Security, a Help Net Security.
“Dado que la mayoría de los ladrones, y en particular los ladrones de criptomonedas, tienden a ser de productos básicos, puede ser más probable que sea algo habitual, pero no podemos decirlo con certeza en este momento”.
Por el momento, tampoco es posible determinar con certeza quién fue el responsable de la campaña. “El hecho de que se haya dirigido contra macOS y las criptomonedas, así como contra la empresa falsa , está en línea con las tácticas, técnicas y procedimientos (TTP) de los piratas informáticos norcoreanos, pero esto por sí solo no es suficiente para llegar a una conclusión”, afirmó Gould. “También existe la posibilidad de que la campaña la hayan llevado a cabo ciberdelincuentes en lugar de un grupo APT”.
Los sitios web que servían el malware ya fueron eliminados, pero los investigadores aconsejan a los usuarios tener cuidado cuando se les contacte con oportunidades comerciales, especialmente a través de Telegram: «Incluso si el contacto parece ser un contacto existente, es importante verificar la cuenta y siempre ser diligente al abrir enlaces».
Fuente y redacción: thehackernews.com
