La creciente popularidad del mercado de las criptomonedas, ha provocado también el auge de toda clase de estafas que ponen en riesgo la seguridad financiera de sus usuarios.
En un informe recientemente publicado por la plataforma antifraude basada en blockchain Scam Sniffer, sus expertos desvelaban una trama que había estado usando Google Ads para estafar a miles de personas, cosechando la enorme cantidad de 59 millones de dólares en criptomonedas sólo durante los últimos nueve meses.
Los delincuentes responsables de esta trama hicieron uso de un servicio denominado 'MS Drainer' —nada que ver con Microsoft— para vaciar los monederos digitales de sus víctimas, aprovechándose de protocolos blockchain que les permiten transferir criptomonedas de una víctima a un atacante sin su consentimiento.
Modus operandi en Google
Lo sorprendente de este caso es que los estafadores utilizaron Google Ads para llegar a sus víctimas cuando éstas buscaban en Google sitios populares de criptomonedas como Zapper, Lido, Stargate, DefiLlama, Orbiter Finance y Radient: si pulsaban en los anuncios de la página de resultados del buscador, les remitían a sin saberlo a versiones falsas de dichas webs.
Así, por ejemplo, el sitio de estafa cbridge.ceiler.network, que contenía una ortografía incorrecta de la palabra "Celer", se disfrazaba como la URL correcta: cbridge.celer.network. A pesar de que la ortografía correcta se mostraba en el anuncio, el enlace redirigía al usuario al sitio de estafa con la ortografía incorrecta.
El informe de Scam Sniffer revela que se ha llegado a encontrar 10.072 sitios web ilegítimos que utilizaban MS Drainer. La actividad de vaciado de monederos alcanzó su punto máximo en noviembre y desde entonces no ha hecho, sino disminuir hasta la casi total inactividad… pero, mientras la trama estuvo activa, logró vaciar 58,98 millones de dólares en criptomonedas a más de 63.000 víctimas.
Generalmente, Google utiliza sistemas de auditoría para evitar que se publiquen anuncios de estafas de phishing, pero los estafadores lograron eludir estos controles, complicando el proceso de revisión mediante redirecciones automatizadas y logrando así que sus anuncios pasaran los controles de calidad de Google.
Modus operandi en X/Twitter
Pero, además de Google Ads, Twitter (ahora X) también se convirtió en escenario de la promoción de esta estafa. Según ScamSniffer, los anuncios vinculados a MS Drainer son tan abundantes en esta plataforma que ahora mismo representa seis de cada nueve anuncios de phishing.
Sorprendentemente, muchos de estos anuncios provienen de cuentas "verificadas" (en realidad, simplemente de pago, aunque ahora porten el distintivo de la marca azul).
Desde ScamSniffer, sin embargo, señalan que es posible que estas cuentas hayan sido infectadas con malware que robó sus cookies de autenticación o contraseñas, permitiendo a las tramas de ciberestafa crear anuncios desde cuentas hackeadas.
Un problema creciente
El desarrollador de MS Drainer empleó una estrategia de marketing inusual para llegar a su público de potenciales ciberestafadores: mientras que la mayoría del malware de esta clase cobra un porcentaje de las ganancias de los estafadores, éste se vendía en foros por una tarifa fija de 1.499,99 dólares.
Si un estafador deseaba más funcionalidades que las ofrecidas en su 'paquete básico', el desarrollador les proporcionaba módulos adicionales por 699.99 dólares, $999.99 o sumas similares.
Esta clase de malware vacía-monederos se han convertido en un problema significativo en el ecosistema de Web3. Y es que llueve sobre mojado: otros casos anteriores se han saldado con robos de 80 millones de dólares (el caso de "Inferno") o de 13 millones ("Monkey Drainer").
Imágenes | ScamSniffer / Marcos Merino mediante IA
Ver 7 comentarios