{"id":30240,"date":"2024-07-31T10:01:50","date_gmt":"2024-07-31T08:01:50","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=30240"},"modified":"2024-07-31T10:01:50","modified_gmt":"2024-07-31T08:01:50","slug":"cryptowallet-seed-phrase-fake-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/cryptowallet-seed-phrase-fake-leaks\/30240\/","title":{"rendered":"Trampa con criptomonedas para los codiciosos, o c\u00f3mo robarle a un ladr\u00f3n"},"content":{"rendered":"

Pasamos varios meses investigando una estafa con criptomonedas nueva y muy ingeniosa, en la cual se alentaba de manera lenta y astuta a las v\u00edctimas a instalar una aplicaci\u00f3n maliciosa de administraci\u00f3n de criptomonedas. Sin embargo, los que cayeron en la estafa solo fueron v\u00edctimas en la teor\u00eda, porque los operadores, como si fueran Robin Hood digitales, apuntaron a\u2026 otros ladrones. Analiza en detalle esta estafa con nosotros y descubre c\u00f3mo proteger tus criptomonedas<\/a>.<\/p>\n

El cebo inicial<\/h2>\n

Todo comenz\u00f3 con la recepci\u00f3n de un mensaje bastante trivial sobre las criptomonedas reenviado en Telegram. Otras personas podr\u00edan haberlo ignorado, pero como l\u00edder del equipo de analistas de contenido web de Kaspersky, decid\u00ed investigarlo ya que algo ol\u00eda mal. Para evadir la detecci\u00f3n, el mensaje ten\u00eda el formato de un fragmento de v\u00eddeo de cinco segundos de duraci\u00f3n, que conten\u00eda una captura de pantalla en la que se mostraba una venta apresurada y con grandes descuentos de dos lucrativos proyectos de criptomonedas con sus respectivos enlaces. El primer enlace, probablemente dise\u00f1ado para brindar al destinatario una falsa sensaci\u00f3n de seguridad, conduc\u00eda a un servicio real de cambio de criptomonedas, aunque era uno peque\u00f1o. El cebo real se escond\u00eda detr\u00e1s del otro enlace.<\/p>\n

\"La<\/a>

La captura de pantalla del anuncio de venta del proyecto de criptomonedas est\u00e1 envuelta en un fragmento de v\u00eddeo de cinco segundos de duraci\u00f3n. \u00a1Esa es una se\u00f1al de alerta!<\/p><\/div>\n

Un fallo conveniente en el servidor<\/h2>\n

Al contrario de lo que se podr\u00eda esperar, el otro enlace no mostraba contenido malicioso. La situaci\u00f3n era mucho m\u00e1s interesante: si introduc\u00edas la direcci\u00f3n esperando ver una p\u00e1gina de inicio, el navegador mostraba una lista del directorio ra\u00edz con algunos nombres de archivo atractivos. Parec\u00eda como si el servidor se hubiera configurado incorrectamente o la p\u00e1gina de inicio se hubiera eliminado por accidente, revelando todos los datos del propietario desprevenido del dominio. Pod\u00edas hacer clic en cualquier archivo de la lista y ver su contenido directamente en el navegador, ya que, convenientemente, todos ellos ten\u00edan formatos comunes y f\u00e1ciles de manejar, como TXT, PDF, PNG o JPG.<\/p>\n

\"Un<\/a>

Un visitante ve una lista de archivos en la carpeta ra\u00edz. No hay un solo archivo HTML<\/p><\/div>\n

Esto hac\u00eda que el visitante sintiera que hab\u00eda llegado a la carpeta de datos personales de un propietario rico, pero torpe, de alg\u00fan proyecto de criptomonedas. Los archivos de texto conten\u00edan detalles de la cartera completos con frases de seguridad, y las im\u00e1genes eran capturas de pantalla que mostraban pruebas de que se hab\u00eda enviado una gran cantidad de criptomonedas con \u00e9xito, saldos considerables de la cartera y el lujoso estilo de vida del propietario.<\/p>\n

\"El<\/a>

El archivo de texto contiene direcciones, usuarios, contrase\u00f1as, frases de seguridad, claves de recuperaci\u00f3n, PIN y claves privadas cuidadosamente recolectadas<\/p><\/div>\n

Una de las capturas de pantalla ten\u00eda un v\u00eddeo de YouTube de fondo en el que se explicaba c\u00f3mo comprar yates y Ferraris con Bitcoin. Un cat\u00e1logo en PDF de estos yates se puede encontrar f\u00e1cilmente en el mismo directorio. En pocas palabras, era un cebo muy jugoso.<\/p>\n

\"La<\/a>

La pantalla muestra una instant\u00e1nea de la vida de un holgaz\u00e1n rico. Entonces, \u00bfcu\u00e1l es la FORMA CORRECTA de comprar el Ferrari y el yate con Bitcoin?<\/p><\/div>\n

Carteras reales y efectivo<\/h2>\n

Esta estafa es ingeniosa porque los detalles de la cartera son reales y, de hecho, se puede acceder a las carteras y ver, por ejemplo, el historial de transacciones de Exodus o los activos de las otras carteras, por un valor de casi 150\u00a0000\u00a0d\u00f3lares estadounidenses, seg\u00fan DeBank.<\/p>\n

\"La<\/a>

La cartera Exodus est\u00e1 vac\u00eda, pero es real y alguien la us\u00f3 recientemente<\/p><\/div>\n

Sin embargo, no podr\u00edas retirar nada, ya que los fondos est\u00e1n invertidos<\/a>, es decir, b\u00e1sicamente inmovilizados en la cuenta. No obstante, esto hace que el visitante sea mucho menos esc\u00e9ptico; parecen ser datos reales de alguien que fueron filtrados por descuido, y no parece tratarse de spam ni phishing. Adem\u00e1s, no hay enlaces externos ni archivos maliciosos en ninguna parte, \u00a1nada es sospechoso!<\/p>\n

\"Los<\/a>

Los saldos de las otras carteras son cuantiosos. L\u00e1stima que los fondos est\u00e9n invertidos (bloqueados)<\/p><\/div>\n

Supervisamos el sitio durante dos meses y no vimos ning\u00fan cambio. Los estafadores parec\u00edan estar esperando que se acumulara una masa cr\u00edtica de usuarios interesados mientras rastreaban su comportamiento con los an\u00e1lisis del servidor web. Despu\u00e9s de este largo per\u00edodo de calentamiento, pasaron a la siguiente etapa del ataque.<\/p>\n

Una nueva esperanza<\/h2>\n

La dram\u00e1tica pausa de dos meses finalmente lleg\u00f3 a su fin con una actualizaci\u00f3n: una nueva captura de pantalla de Telegram que supuestamente muestra un pago exitoso de Monero. Si uno la mira m\u00e1s de cerca, se observa una aplicaci\u00f3n de cartera llamada \u201cElectrum-XMR\u201d con un registro de transacciones y un saldo considerable de casi 6000\u00a0tokens Monero (XMR), con un valor de aproximadamente un mill\u00f3n de d\u00f3lares al momento de esta publicaci\u00f3n.<\/p>\n

\"Se<\/a>

Se inicia la fase activa: una cartera que aparentemente contiene alrededor de un mill\u00f3n de d\u00f3lares<\/p><\/div>\n

Por una afortunada coincidencia, un nuevo archivo de texto con la frase de seguridad de la cartera apareci\u00f3 justo al lado de la captura de pantalla.<\/p>\n

\"La<\/a>

La frase de seguridad de la cartera fue el cebo<\/p><\/div>\n

A estas alturas, cualquier persona lo suficientemente deshonesta se apresur\u00f3 a descargar una cartera de Electrum para iniciar sesi\u00f3n en la cuenta del incauto y tomar el dinero restante. Mala suerte: Electrum solo admite Bitcoin, no Monero, y se necesita una clave privada (y no una frase de seguridad) para recuperar el acceso a una cuenta. Al intentar restaurar la clave de la frase de seguridad, todos los convertidores leg\u00edtimos indicaban que el formato de la frase de seguridad no era v\u00e1lido.<\/p>\n

Sin embargo, la codicia nublaba el juicio de los usuarios: despu\u00e9s de todo, hab\u00eda un mill\u00f3n de d\u00f3lares en juego y ten\u00edan que darse prisa antes de que alguien m\u00e1s se lo robara. Los deseosos de ganar dinero r\u00e1pido buscaron \u201cElectrum XMR\u201d o simplemente \u201cElectrum Monero\u201d en Google. El resultado principal era un sitio web en el que aparentemente hab\u00eda una bifurcaci\u00f3n de Electrum que admit\u00eda Monero.<\/p>\n

La versi\u00f3n \"correcta\" de la cartera aparece al principio de los resultados de la b\u00fasqueda<\/a>

La versi\u00f3n \u201ccorrecta\u201d de la cartera aparece al principio de los resultados de la b\u00fasqueda<\/p><\/div>\n

Su dise\u00f1o se parec\u00eda al del sitio web original de Electrum y, con un c\u00f3digo abierto t\u00edpico, presentaba todo tipo de descripciones, enlaces a GitHub (el repositorio original de Electrum, no Electrum-XMR), una nota que dec\u00eda expl\u00edcitamente que se trataba de una bifurcaci\u00f3n para admitir Monero y pr\u00e1cticos enlaces directos a los instaladores de macOS, Windows y Linux.<\/p>\n

\"El<\/a>

El sitio web de la aplicaci\u00f3n de la cartera falsa est\u00e1 muy bien hecho<\/p><\/div>\n

Es en este momento cuando el cazador, sin saberlo, se convierte en presa. La descarga e instalaci\u00f3n de Electrum-XMR infecta el ordenador con malware identificado por Kaspersky como Backdoor.OLE2.RA-Based.a<\/em>, que proporciona a los atacantes acceso remoto encubierto. Lo que hacen a continuaci\u00f3n probablemente sea escanear el contenido del ordenador y robar datos de la cartera de criptomonedas y cualquier otra informaci\u00f3n valiosa.<\/p>\n

Nuestra soluci\u00f3n de seguridad<\/a>\u00a0habr\u00eda bloqueado el sitio web malicioso, y por supuesto cualquier intento de instalar el troyano, pero los cazadores de criptomonedas ansiosos por hacerse con el dinero de otras personas dif\u00edcilmente se encuentran entre nuestros usuarios.<\/p>\n

\"Nuestra<\/a>

Nuestra seguridad bloquea el sitio malicioso, y por supuesto cualquier intento de instalar el troyano<\/p><\/div>\n

De repente, una segunda versi\u00f3n<\/h2>\n

Alg\u00fan tiempo despu\u00e9s, cuando terminamos de investigar esta haza\u00f1a de la ingenier\u00eda social, recibimos otro cebo, lo que no fue una sorpresa. Esta vez, los estafadores fueron a toda velocidad. La captura de pantalla mostraba una cartera falsa con un saldo cuantioso junto a un archivo de texto abierto que conten\u00eda una gran cantidad de informaci\u00f3n personal y un enlace a un sitio malicioso cuidadosamente a\u00f1adido. Aparentemente, esta estafa ha demostrado funcionar bien y nos esperan muchos ataques similares.<\/p>\n

\"En<\/a>

En la segunda versi\u00f3n, los estafadores pusieron manos a la obra de inmediato al recolectar toda la informaci\u00f3n relevante en una captura de pantalla<\/p><\/div>\n

Reconocer el ataque<\/h2>\n

Las v\u00edctimas de la estafa que comentamos anteriormente no despiertan ninguna simpat\u00eda, viendo c\u00f3mo mordieron el anzuelo intentando robar el dinero de otras personas. Sin embargo, los estafadores siguen inventando nuevos trucos y, la pr\u00f3xima vez, es posible que te ofrezcan una forma aparentemente \u00e9tica de ganar dinero. Por ejemplo, es posible que obtengas accidentalmente una captura de pantalla que anuncie un lanzamiento lucrativo, con el enlace directamente en la barra de direcciones\u2026<\/p>\n

Por lo tanto, mantente alerta y toma cualquier informaci\u00f3n con pinzas. Cada etapa del ataque fue sospechosa a su manera. El anuncio de venta del sitio web se present\u00f3 en forma de fragmento de v\u00eddeo con una captura de pantalla, obviamente para evadir los algoritmos antispam. Un sitio web que no contiene m\u00e1s que archivos de texto no cifrados con datos de una cartera de criptomonedas parece demasiado bueno para ser verdad. El dominio que supuestamente aloja la bifurcaci\u00f3n de la cartera de criptomonedas se hab\u00eda registrado solo dos meses antes del ataque. Sin embargo, lo m\u00e1s importante es que el panorama repleto de estafas de las criptomonedas hace que el uso de aplicaciones de cartera poco conocidas sea un riesgo inaceptable. Por lo tanto, sigue estos pasos:<\/p>\n