in

Golpea la luna y piratea: la aplicación Fake SafeMoon descarga malware para espiarte


Las criptomonedas suben y bajan, pero una cosa sigue siendo la misma: los ciberdelincuentes están tratando de sacar provecho de la locura

Los ciberdelincuentes están tratando de sacar provecho de la «próxima gran cosa» en el turbulento espacio de las criptomonedas para controlar de forma remota las computadoras de las personas y luego robar sus contraseñas y dinero. Una campaña recientemente descubierta imita la aplicación de criptomonedas SafeMoon y utiliza una actualización falsa para atraer a los usuarios de Discord a un sitio web que vende una conocida herramienta de acceso remoto (RAT).

SafeMoon es una de las monedas alternativas más nuevas para disparar a la luna. Desde su creación hace seis meses, SafeMoon ha sido enormemente popular (y, en consecuencia, volátil), con el entusiasmo provocado por Hombre de influencia y numerosos entusiastas en las redes sociales. El rumor no ha escapado a los estafadores, ya que las estafas contra los usuarios de criptomonedas, incluidas las estafas que usan celebridades para agregar un atractivo adicional, han sido desenfrenadas durante años.

Houston, tenemos un problema

El truco para aprovechar la repentina popularidad de SafeMoon comienza con un mensaje (Figura 1) que los estafadores enviaron a varios usuarios de Discord, donde pretenden ser la cuenta oficial de SafeMoon en el sitio web para obtener una nueva versión de la aplicación Promocionar.

Figura 1. El mensaje disfrazado de SafeMoon

Si hace clic en la URL del mensaje, llegará a un sitio web (Figura 2) que parece estar diseñado para parecerse al sitio oficial de SafeMoon, la versión anterior para ser precisos. El nombre de dominio fue reportado por primera vez por un usuario de Reddit en agosto de 2021, y también imita a su contraparte legítima, excepto que se agrega una letra adicional al final con la esperanza de que la diferencia marque la diferencia con la mayoría de las personas en su prisa por obtener el necesaria «actualización» para conseguir pasa desapercibido «. En el momento de redactar este documento, el sitio malicioso todavía está en funcionamiento.

Figura 2. El sitio web falso (L) versus el legítimo (R) SafeMoon, agosto de 2021 (fuente: web.archive.org)

Figura 3. El sitio web oficial de SafeMoon, principios de octubre de 2021

Todos los enlaces externos en el sitio web son legítimos, con la excepción del más importante: el enlace que le pide que descargue la aplicación SafeMoon “oficial” de Google Play Store. En lugar de la aplicación SafeMoon para dispositivos Android, descarga una carga útil que contiene un software de Windows bastante estándar que se puede utilizar tanto con fines legítimos como nefastos.

Figura 4. La sección de desarrollo de la aplicación maliciosa disfrazada

Después de la ejecución, el programa de instalación (Safemoon-App-v2.0.6.exe) coloca varios archivos en el sistema, incluido un RAT llamado Remcos. Aunque se promociona como una herramienta legítima, esta RAT también se ofrece a la venta en foros clandestinos, lo que también le valió una advertencia oficial de las autoridades estadounidenses poco después del lanzamiento de la herramienta. Cuando se utiliza con fines maliciosos, un RAT se suele entender como un «troyano de acceso remoto».

Desde entonces, Remcos se ha utilizado en varias campañas, tanto por grupos de ciberdelincuencia como de ciberespionaje. De hecho, los investigadores de ESET descubrieron Remcos hace solo unos meses en lo que denominaron Operación Spalax, en la que los actores de amenazas apuntaban a varias organizaciones en Colombia.

Como es común con los RAT, Remcos le da al atacante una puerta trasera en la computadora de la víctima y se utiliza para recopilar datos confidenciales de la víctima. Se opera a través de un servidor de comando y control (C&C), cuya dirección IP se inserta en los archivos descargados. Las capacidades de Remcos incluyen robar credenciales de varios navegadores web, registrar pulsaciones de teclas, secuestrar la cámara web, grabar audio desde el micrófono de la víctima, descargar y ejecutar malware adicional en la computadora … los nueve metros, en realidad.

Una mirada superficial al archivo de configuración RAT (Figura 5) da una impresión de la amplia funcionalidad.

Figura 5. Parte del archivo binario de configuración de Remcos que muestra algo de lo que está buscando el RAT

Abroche el cinturón de seguridad

Algunas precauciones básicas le ayudarán en gran medida a protegerse de estas estafas:

  • Tenga cuidado con cualquier comunicación que surja de la nada, ya sea por correo electrónico, redes sociales, SMS o cualquier otro canal.
  • No haga clic en los enlaces de dichos mensajes, especialmente si provienen de una fuente no verificada.
  • Tenga cuidado con las irregularidades en las URL; es mejor que las ingrese usted mismo
  • Utilice contraseñas o frases de contraseña seguras y únicas y, si está disponible, autenticación de dos factores (2FA)
  • Utilice un software de seguridad integral

Cuando se trata de invertir en criptomonedas, se debe tener precaución, y no solo porque el mercado está lleno de estafas de inversión, obsequios falsos y otras estafas. Pero estoy seguro de que ya conoces el ejercicio.

Indicadores de compromiso (IoC)

Hash SHA-256 Nombre de detección de ESET
035041983ADCFB47BBA63E81D2B98FA928FB7E022F51ED4A897366542D784E5B Una variante de MSIL / inyector.VQB

Los archivos descargados posteriormente como parte del paquete Remcos son guardados por los productos ESET como Win32 / Rescoms.B.



What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Mandiant está luchando contra el ransomware y las brechas de seguridad con nuevas herramientas

El marco de búsqueda de amenazas y OSINT definitivo