ESET alerta sobre SafeMoon, la falsa aplicación de criptomonedas que lanza un malware para espiar a los usuarios

ESET, compañía pionera en protección antivirus, alerta sobre los continuos intentos de los ciberdelincuentes de aprovechar las oportunidades en el turbulento mundo de las criptomonedas, tratando de tomar el control remoto de los ordenadores de los usuarios para robar sus contraseñas y dinero. Tal y como indican los expertos de la firma, una campaña descubierta recientemente suplanta la aplicación de criptomonedas SafeMoon y utiliza una actualización falsa para atraer a los usuarios de Discord a un sitio web que distribuye una conocida herramienta de acceso remoto (RAT).

SafeMoon es una de las últimas altcoins que desde su creación, hace ahora seis meses, se ha hecho tremendamente popular (y volátil) gracias a la locura alimentada por los influencers y por sus numerosos entusiastas en las redes sociales. Esta nueva “moda“ no ha pasado desapercibida para los ciberdelincuentes, en un entorno en el que las estafas dirigidas a los usuarios de criptodivisas -incluyendo fraudes con nombres de celebridades para darles un atractivo adicional- proliferan desde hace años.

Un “aterrizaje forzoso”

La estafa que aprovecha la repentina popularidad de SafeMoon comienza con un mensaje (Figura 1) que los estafadores han enviado a varios usuarios en Discord, donde se hacen pasar por la cuenta oficial de SafeMoon para promocionar una nueva versión de la aplicación.

Si el usuario hiciera clic en la URL del mensaje, llegaría a una web (Figura 2) que aparentemente está diseñada para parecerse al sitio oficial de SafeMoon (a su versión antigua, para ser más exactos). El nombre de dominio, del que informó por primera vez en agosto de 2021 un usuario de Reddit, también imita a su homólogo legítimo, salvo que añade una letra extra al final con la esperanza de que la diferencia pase desapercibida para la mayoría de los usuarios, en sus prisas por obtener la «actualización» requerida. En el momento de difundir la presente información, el sitio web malicioso sigue en funcionamiento.

Tal y como afirman los expertos de ESET, los enlaces externos de dicho sitio son legítimos, excepto quizás el más importante: el enlace que le solicita al usuario que se descargue la aplicación «oficial» de SafeMoon desde Google Play Store. En lugar de la aplicación SafeMoon para dispositivos Android, el usuario que caiga en la trampa se descargará un payload que incluye un software de Windows bastante común y que puede utilizarse tanto para fines legítimos como para otros fraudulentos.

Según indican desde ESET, una vez ejecutado, el instalador (Safemoon-App-v2.0.6.exe) volcará varios archivos en el sistema, incluyendo una RAT llamada Remcos. Aunque se promociona como una herramienta legítima, esta RAT también se comercializa en foros clandestinos, lo que ya le valió una alerta oficial por parte de las autoridades estadounidenses poco después de su publicación. Y es que si se utiliza con fines fraudulentos, a menudo una RAT es considerada como un «troyano de acceso remoto».

Desde entonces, Remcos se ha desplegado en varias campañas, tanto por grupos de cibercrimen como de ciberespionaje. De hecho, hace unos meses los investigadores de ESET descubrieron a Remcos en lo que apodaron «Operación Spalax», donde los autores de la amenaza apuntaron a una serie de organizaciones en Colombia.

Como es habitual en las RATs, Remcos proporciona al atacante una puerta trasera en el ordenador de la víctima que se utiliza para recoger datos sensibles de la misma. Funciona a través de un servidor de mando y control (C&C) cuya dirección IP se inyecta en los archivos descargados. Las capacidades de Remcos incluyen el robo de las credenciales de inicio de sesión de varios navegadores web, el registro de las pulsaciones del teclado, el secuestro de la cámara web, la captura de audio desde el micrófono de la víctima, la descarga y ejecución de malware adicional en la máquina, etc.

Tomando precauciones

Para ayudar a los usuarios a mantenerse a salvo de este tipo de estafas, los expertos de ESET recomiendan tomar unas cuantas precauciones básicas:
· Desconfiar de cualquier comunicación inesperada, ya sea por correo electrónico, redes sociales, mensajes de texto u cualquier otro canal.
· No hacer clic en los enlaces de esos mensajes, especialmente si proceden de una fuente no verificada.
· Estar atentos a las irregularidades en las URLs: es mejor que el usuario escriba por sí mismo la dirección a la que quiere acceder.
· Utilizar contraseñas o frases de contraseña fuertes y únicas, y, siempre que esté disponible, aplicar la autenticación de dos factores (2FA).
· Utilizar un software de seguridad efectivo para la detección y eliminación de estas amenazas.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.