Este ataque de phishing usa un nuevo truco para robar criptomonedas de las carteras

Este ataque de phishing usa un nuevo truco para robar criptomonedas de las carteras

Un grupo delictivo ansioso por aprovechar las oportunidades potencialmente lucrativas que ofrece el auge de la criptomoneda ha desarrollado un nuevo y sofisticado plan para secuestrar las billeteras de Ethereum y robar el contenido de las mismas en el primer ataque de su clase.

Los investigadores de seguridad de la empresa de seguridad RiskIQ, bautizado como MEWKit, descubrieron que la campaña de phishing imita el front end del sitio web MyEtherWallet con el objetivo de robar credenciales, mientras que implementa lo que los autores llaman un "sistema de transferencia automatizado" para procesar los detalles capturados por la página falsa y fondos de transferencia.

El ataque inyecta scripts en sesiones web activas y silenciosamente e invisiblemente realiza transferencias bancarias solo segundos después de que el usuario inicia sesión en su cuenta de criptomoneda.

Los investigadores señalan que MyEtherWallet es un objetivo atractivo para los atacantes porque es fácil de usar, pero su falta de seguridad en comparación con otros bancos e intercambios lo convierten en un objetivo destacado para el ataque.

Una vez que el usuario accede a una página de MEWKit, se inicia el ataque de phishing con las credenciales, incluidos los inicios de sesión y la clave privada de la billetera que registran los atacantes.

Después de eso, los delincuentes buscan drenar cuentas cuando la víctima descifra su billetera. La estafa utiliza scripts que crean automáticamente la transferencia de fondos presionando los botones como lo haría un usuario legítimo, todo mientras la actividad permanece oculta: es la primera vez que se ve un ataque para usar esta táctica automatizada.

"Este ataque demuestra cómo los actores están cambiando sus tácticas para atacar las vulnerabilidades únicas de los servicios y las implementaciones circundantes de la criptomoneda", dijo Yonathan Klijsnma, investigador de amenazas de RiskIQ.

"MEWKit combina las tácticas de los ataques de phishing tradicionales y la funcionalidad de un servicio de transferencia automática para una forma personalizada de eliminar las barreras relativamente bajas de MyEtherWallet".

El back-end de MEWKit permite a los atacantes controlar cuánto Ethereum ha sido recolectado, así como también mantener un registro de las claves y contraseñas de los usuarios privados que pueden ser potencialmente utilizados para futuros ataques.

Quienes están detrás de MEWKit parecen haber estado activos durante algún tiempo y han llevado a cabo algunas campañas sofisticadas. Los investigadores dicen que MewKit demuestra un "nuevo esfuerzo dedicado de los actores de la amenaza para buscar la criptomoneda" y que la campaña es "altamente lucrativa y continuará en funcionamiento en el futuro previsible".

Los investigadores no han podido identificar al grupo criminal o grupos detrás de los ataques, pero la ubicación de algunas de las direcciones IP involucradas en la redirección de carteras sugiere que la operación es realizada por una persona Rusa que está familiarizado con estos términos financieros".

Para evitar caer en esta forma de ataque, RiskIQ insta a todos los usuarios de MyEtherWallet a tener precaución al usar la plataforma.

"Esté pendiente de la URL que abre y, preferiblemente, tenga una página marcada para MyEtherWallet o escriba usted mismo el nombre de dominio", advierte el informe, que también indica a los usuarios que no utilicen enlaces que afirman ser el servicio en cuestión.

Read more