Los propietarios de criptomonedas se han convertido en el objetivo de una nueva campaña de hacking a través de ingeniería social que utiliza falsas startups tecnológicas para engañar a los usuarios. El objetivo es hacer que descarguen un tipo de malware, presente tanto en Windows como en macOS, que puede drenar sus activos digitales.
En estos ataques, los estafadores se hacen pasar por empresas de inteligencia artificial, videojuegos o Web3 (tecnología blockchain) y para ello utilizan cuentas falsas en redes sociales y plataformas, así como documentos relativos a proyectos alojados en plataformas legítimas como Notion y GitHub.
Cómo operan las falsas empresas para engañar a los propietarios de criptomonedas
Se trata de una estafa compleja que lleva ya algún tiempo en marcha, con una versión anterior detectada en diciembre de 2024, que utilizaba falsas plataformas de videoconferencia para engañar a las víctimas. En esa primera versión invitaba a las víctimas a que se unieran a una videoconferencia con el pretexto de discutir una oportunidad de inversión, tras contactarlas a través de aplicaciones de mensajería como Telegram.
En ese caso, los usuarios que descargaron el supuesto software para reuniones se vieron infectados por un tipo de malware (llamado malware stealer), conocido como Realst. La campaña recibió el nombre en clave de Meeten por parte de los analistas que la descubrieron, en referencia a uno de los servicios de videoconferencia falsos ofrecidos. Y hay indicios de que la actividad podría haber estado en marcha desde al menos marzo del año pasado, cuando un primer grupo de especialistas en ciberseguridad reveló el uso de un dominio llamado “meethub[.]gg” para distribuir Realst.
Tácticas y evolución de las estafas con falsas empresas
Los últimos hallazgos apuntan a que la campaña no solo continúa siendo una amenaza activa, sino que también se ha ampliado a temáticas relacionadas con la inteligencia artificial para atraer a sus víctimas, además de videojuegos, Web3 y redes sociales. También se ha observado que los atacantes aprovechan cuentas de la red social X hackeadas o falsas para contactar posibles objetivos y dar a sus falsas empresas una apariencia de legitimidad.
Los cibercriminales se mueven en sitios web utilizados frecuentemente por empresas de software como X, Medium, GitHub y Notion. En estas plataformas las empresas suelen tener sites profesionales. En uno de los ejemplos, los ciberdelincuentes crearon el site de una compañía inexistente, llamada Eternal Decay (@metaversedecay), que afirmaba ser la creadora de un juego basado en blockchain y que compartió versiones alteradas digitalmente de imágenes en X para dar la impresión de que había realizado presentaciones en diversas conferencias.
El objetivo final es crear una presencia en línea que haga que estas empresas parezcan lo más reales posible y aumente la probabilidad de interacción con los usuarios. Los ataques propiamente dichos suelen comenzar cuando una de estas cuentas controladas por cibercriminales envía un mensaje a la víctima a través de X, Telegram o Discord, instándola a probar su software a cambio de un pago en criptomonedas.
Cómo se desarrolla el ataque
Si la víctima acepta la prueba, se le redirige a un sitio web ficticio desde donde se le anima a introducir un código de registro proporcionado por el empleado para descargar una aplicación Windows Electron o un archivo de imagen de disco de Apple (DMG), dependiendo del sistema operativo utilizado.
En los sistemas Windows, al abrir la aplicación maliciosa se muestra a la víctima una pantalla de verificación mientras que, de forma encubierta, se crea un perfil del equipo y se procede a descargar y ejecutar un instalador MSI. Aunque se desconoce la naturaleza exacta de la carga útil que se introduce, se cree que en esta fase se ejecuta un programa para robar información. Por otro lado, la versión para macOS del ataque conduce a la implementación de Atomic macOS Stealer (AMOS), un conocido malware que roba información y que puede extraer documentos y datos de navegadores web y carteras de criptodivisas, así como filtrar los detalles a un servidor externo.
Algunos expertos en ciberseguridad también han señalado que la campaña comparte similitudes con las orquestadas por un grupo de hackers llamado Crazy Evil, conocido por manipular a las víctimas para que instalen malware. Aunque no está claro si las campañas pueden atribuirse a este grupo en particular o a alguno de sus equipos secundarios.
En cualquier caso, esta campaña pone de relieve los esfuerzos y la sofisticación que alcanzan los ciberdelincuentes para que estas empresas falsas parezcan legítimas con el fin de robar criptomonedas, además del uso de nuevas versiones evasivas de malware.