La compañía especializada en detección de amenazas informáticas ESET alertó sobre una campaña activa y vigente sobre una falsa aplicación de la criptomoneda Safemoon que distribuye un RAT que espía y roba información sensible.
Este hecho se da en un marco donde los delitos relacionados con la minería, compra y venta de monedas virtuales siguen en alza. Ya sea desde la minería en navegadores hasta ataques de ingeniería social que utilizan la temática como excusa atractiva para atraer a las víctimas.
ESET identificó la obtención de credenciales de acceso de varios navegadores, como Internet Explorer, Firefox y Google Chrome; el registro de las pulsaciones de teclado del usuario (o keylogging), la captura de audio desde el micrófono de la víctima o la descarga de archivos adicionales de acuerdo al interés del atacante.
Aquellos que están detrás tienen la capacidad de provocar acciones que pueden auxiliar a otros códigos maliciosos para su funcionamiento, como la eliminación de archivos o carpetas, o la modificación del fondo de pantalla del usuario.
Safemoon es una criptomoneda que desde que nació, en marzo de 2021, se destacó por su crecimiento y su alta volatilidad. Sin embargo, el éxito que tuvo no estuvo a gusto de todos y en agosto de este año se denunció un sitio que suplantaba su identidad.
En el engaño los usuarios eran contactados en Discord -por parte de cuentas que simulaban oficiales- con mensajes que hacían referencia al lanzamiento de una actualización de la aplicación virtual.
A la hora de verificar el enlace adjunto, los investigadores de ESET verificaron que se trataba de un ataque homográfico, en donde el cibercriminal agrega o modifica un carácter a falsificar. El mismo contaba con una copia fiel de la versión antigua del sitio original.
De hecho, los profesionales destacaron que cada link redirige al sitio web real, a excepción del enlace para la descarga de la aplicación mencionada en el mensaje fraudulento.
Sin embargo, se trata de una aplicación maliciosa que utiliza una herramienta de administración de dispositivos de manera remota cuyo objetivo de espiar al usuario.
El archivo tiene características de troyano, ya que se presenta a la víctima como una imitación de una aplicación inofensiva y operando de manera transparente. Una vez ejecutado, no realizará ningún tipo de acción que el usuario pueda detectar, sino que se descargan una serie de archivos, entre ellos el payload de una conocida herramienta de acceso remoto (RAT) llamada Remcos.
