El mercado de las criptomonedas sigue muy activo desde hace meses, consolidándose para algunos inversores como un “valor refugio” ante la incertidumbre geopolítica actual. Esto ha hecho que los ciberdelincuentes vuelvan a intensificar sus campañas, por ejemplo, para ofrecer supuestas plataformas de inversión con unos retornos muy interesantes que terminan con los usuarios siendo estafados.
No obstante, el alto valor alcanzado por criptodivisas como Bitcoin durante las últimas semanas también ha provocado que los delincuentes pongan en su punto de mira a plataformas reconocidas del mundo de las criptomonedas para tratar de conseguir nuevas víctimas mediante campañas que se han producido durante los últimos días.
Evolución del valor de Bitcoin durante los últimos meses
Una de estas plataformas es CoinMarketCap, usada por muchos para revisar el precio de varias criptomonedas en tiempo real. En un ataque que, aparentemente, se aprovecho de algún fallo en la cadena de suministro, los delincuentes lograron colocar en esta web una ventana emergente que se mostró a aquellos que visitaron la web durante un breve espacio de tiempo el pasado 20 de junio.
Ventana emergente fraudulenta mostrada en CoinMarketCap - Fuente: Rey
En esta captura de pantalla podemos observar como en la ventana emergente se solicita a los usuarios que verifiquen su cartera de criptomonedas, indicando que deben conectar su cartera para poder seguir accediendo a su cuenta en esta plataforma. Este aviso podría parecer sospechoso para alguien que tuviera un mínimo sentido común, y más cuando estamos hablando de criptodivisas que pueden llegar a tener un valor importante.
Sin embargo, que esta ventana emergente apareciese en una plataforma de confianza, visitada por miles de usuarios a diario provoco que algunos usuarios siguieran las instrucciones y, tras conectar sus carteras de criptomonedas, un script malicioso las vació y transfirió a billeteras controladas por los atacantes.
Al tratarse de un ataque que duró poco tiempo, podríamos llegar a pensar que el número de víctimas sería limitado pero una captura de pantalla difundidas poco después en un canal de Telegram expuso que al menos 110 usuarios mordieron el anzuelo preparado por los delincuentes, los cuales obtuvieron una cantidad superior a 43.000$ en, recordemos, un corto espacio de tiempo.
Captura con el supuesto importe robado a usuarios de CoinMarketCap - Fuente: Rey
Un caso similar, también acontecido durante los últimos días, tiene como protagonista a la plataforma Cointelegraph. Aparentemente, su web fuecomprometida y también mostró durante un tiempo una ventana emergente a los usuarios que la visitaban, invitándoles a recibir hasta 5.500 dólares en tokens si conectaban su cartera de criptomonedas.
Ventana emergente maliciosa - Fuente: Scam Sniffer
Este incidente se produjo solo dos días después (el domingo 22 de junio) del que afectó a CoinMarketCap y, aunque en el momento de redactar este artículo no se ha podido demostrar que exista una conexión entre ambos ataques, si que resulta especialmente destacable la poca diferencia de días entre los incidentes.
Ambos casos demuestran la importancia que tiene no bajar nunca la guardia, aunque nos encontremos en webs de confianza, ya que los delincuentes pueden aprovechar vulnerabilidades en estas webs para mostrarnos, como en estos casos, ventanas emergentes maliciosas o descargar código maliciosos en nuestro sistema.
Además de estos dos casos, en los últimos días también hemos conocido un intento de suplantación de identidad dirigido a los usuarios de billeteras de criptomonedas físicas del fabricante Trezor. Estas billeteras físicas son utilizadas para almacenar de forma segura varios tipos de criptomonedas y son catalogadas como “billeteras frías”, que no están conectadas a Internet y que requieren una confirmación física antes de aprobar cualquier transacción.
Mensaje enviado a los usuarios de la billetera fría Trezor - Fuente: Crypto Tkachev
En el mensaje de phishing preparado por los delincuentes suplantando la identidad de Trezor se les indica a los usuarios que deben crear una nueva bóveda de Trezor para proteger sus activos que podrían estar potencialmente en riesgo. Para ello se les invita a visitar un dominio preparado por los atacantes donde deben introducir la “semilla” de su billetera.
Esta semilla es en realidad una concatenación de 24 palabras aleatorias que protegen el acceso al contenido que almacenan en sus billeteras físicas, lo que lo convierte en un sistema de protección realmente robusto, a menos que el usuario lo comparta en sitios fraudulentos como estaban tratando de conseguir los delincuentes.
Así las cosas, es más importante que nunca estar muy pendiente de todas estas campañas relacionadas con las criptomonedas. Su valor ha ido creciendo con el tiempo y los delincuentes no van a dudar ni un ápice en preparar nuevas y más elaboradas estrategias para hacerse con los fondos de los usuarios, sabiendo que el retorno de inversión puede ser muy elevado y el rastreo de los fondos robados muy difícil.