A la luna y hackear: la aplicación Fake SafeMoon suelta malware para espiarte


Las criptomonedas suben y bajan, pero una cosa permanece igual: los ciberdelincuentes intentan sacar provecho de la locura

Los ciberdelincuentes están tratando de sacar provecho de «la próxima gran cosa» en el turbulento espacio de las criptomonedas en un intento de tomar el control remoto de las computadoras de las personas y luego robar sus contraseñas y dinero. Una campaña detectada recientemente se hace pasar por la aplicación de criptomonedas SafeMoon y utiliza una actualización falsa para atraer a los usuarios de Discord a un sitio web que distribuye una conocida herramienta de acceso remoto (RAT).

SafeMoon es una de las últimas altcoins para, bueno, apuntar a la luna. Desde su creación hace seis meses, SafeMoon ha sido muy popular (y debidamente volátil), con la locura impulsada por influencers y numerosos entusiastas en las redes sociales. El rumor no ha escapado a la atención de los estafadores, ya que estafas dirigidas a usuarios de criptomonedas – incluido fraude que pone nombre a las celebridades para darle un atractivo adicional, han estado funcionando desenfrenadamente durante años.

Houston, tenemos un problema

La artimaña que explota la repentina popularidad de SafeMoon comienza con un mensaje (Figura 1) que los estafadores han enviado a varios usuarios de Discord, donde se hacen pasar por los cuenta oficial de SafeMoon en el sitio para promocionar una nueva versión de la aplicación.

Figura 1. El mensaje que se hace pasar por SafeMoon

Si hiciera clic en la URL del mensaje, llegaría a un sitio web (Figura 2) que aparentemente está diseñado para parecerse al sitio oficial de SafeMoon: su versión anterior, para ser exactos. Primero informado por un usuario de Reddit en agosto de 2021, el nombre de dominio también imita a su contraparte legítima, excepto que agrega una letra adicional al final con la esperanza de que la diferencia pase desapercibida para la mayoría de las personas en su prisa por obtener la “actualización” requerida. En el momento de redactar este documento, el sitio malicioso todavía está en funcionamiento.

Figura 2. El sitio web falso (L) versus el legítimo (R) SafeMoon, agosto de 2021 (fuente: web.archive.org)

Figura 3. El sitio web oficial de SafeMoon, principios de octubre de 2021

Todos los enlaces externos en el sitio son legítimos, excepto el posiblemente más importante: el enlace que le solicita que descargue la aplicación SafeMoon «oficial» de Google Play Store. En lugar de la aplicación SafeMoon para dispositivos Android, descarga una carga útil que incluye software de Windows bastante común y listo para usar que se puede usar tanto para fines legítimos como nefastos.

Figura 4. La sección de desarrollo de la aplicación maliciosa ofuscada

Tras la ejecución, el instalador (Safemoon-App-v2.0.6.exe) colocará varios archivos en el sistema, incluido un RAT llamado Remcos. Si bien se promociona como una herramienta legítima, esta RAT también se vende a la venta en foros clandestinos, lo que también le valió un alerta oficial de las autoridades estadounidenses poco después del lanzamiento de la herramienta. Si se usa para fines malvados, a menudo se entiende que un RAT representa un «troyano de acceso remoto».

Desde entonces, Remcos se ha implementado en una serie de campañas, tanto por grupos de ciberdelincuencia como de ciberespionaje. De hecho, hace solo unos meses, los investigadores de ESET detectaron a Remcos en lo que apodaron «Operación Spalax», donde los actores de amenazas apuntaron a una gran cantidad de organizaciones en Colombia.

Como es habitual con los RAT, Remcos le da al atacante una puerta trasera en la computadora de la víctima y se utiliza para recopilar datos confidenciales de la víctima. Se opera a través de un servidor de comando y control (C&C) cuya dirección IP se inyecta en los archivos descargados. Las capacidades de Remcos incluyen el robo de credenciales de inicio de sesión de varios navegadores web, registro de pulsaciones de teclas, secuestro de la cámara web, captura de audio del micrófono de la víctima, descarga y ejecución de malware adicional en la máquina … los nueve metros completos, en realidad.

Una mirada superficial al archivo de configuración de la RAT (Figura 5) proporciona una idea de su amplia funcionalidad.

Figura 5. Parte del archivo binario de configuración de Remcos que muestra algo de lo que busca el RAT

Abróchate el cinturón

Algunas precauciones básicas ayudarán en gran medida a mantenerse a salvo de estas estafas:

  • Tenga cuidado con cualquier comunicación inesperada, ya sea por correo electrónico, redes sociales, mensajes de texto u otros canales.
  • No haga clic en enlaces en dichos mensajes, especialmente cuando provienen de una fuente no verificada.
  • Esté atento a las irregularidades en las URL; es mejor que las escriba usted mismo
  • Usar contraseñas o frases de contraseña seguras y únicas y, cuando esté disponible, autenticación de dos factores (2FA)
  • Utilice un software de seguridad integral

Cuando se trata de invertir en criptomonedas, debe proceder con precaución, y no solo porque el mercado está plagado de fraudes de inversión, obsequios falsos y otras estafas. Pero seguramente ya conoces el ejercicio.

Indicadores de compromiso (IoC)

Hash SHA-256 Nombre de detección de ESET
035041983ADCFB47BBA63E81D2B98FA928FB7E022F51ED4A897366542D784E5B Una variante de MSIL / Inyector.VQB

Los archivos descargados posteriormente como parte del «paquete» Remcos son detectados por los productos ESET como Win32 / Rescoms.B.





Enlace a la noticia original