Los usuarios y entusiastas de las criptomonedas están siendo atacados por actores maliciosos con aplicaciones de billetera falsas que roban sus valiosos tokens, según descubrieron los investigadores.

Investigadores confiados en seguridad cibernética han descubierto que algunas de las billeteras de criptomonedas más populares del mundo están siendo falsificadas por clones (se abre en una nueva pestaña) que contienen malware.

Los productos Coinbase, MetaMask, TokenPocket e imToken se encuentran entre los afectados, y los actores de amenazas crearon aplicaciones aparentemente idénticas a las aplicaciones legítimas, pero con una diferencia clave: tienen una puerta trasera capaz de robar las frases de seguridad de las personas. La frase de contraseña, o clave secreta, es una cadena de palabras que se usa para recuperar o cargar una billetera existente en la nueva aplicación.

Decenas de millones de objetivos potenciales

Las personas lo usan cuando olvidan sus contraseñas, instalan la aplicación en un dispositivo nuevo o necesitan cargar una billetera en otro dispositivo.

Al ser maliciosas, estas aplicaciones no se pueden encontrar en los repositorios de aplicaciones oficiales, como Play Store o App Store. En cambio, los actores de amenazas confían en distribuir la aplicación a través de páginas web, que promocionan a través de técnicas negras de SEO, envenenamiento de SEO, marketing en redes sociales, promociones en foros, anuncios maliciosos, etc.

Los investigadores no pudieron decir cuántas personas fueron engañadas para descargar estas aplicaciones, pero solo la aplicación de Coinbase tiene más de 10 millones de descargas solo en Android.

En cuanto a las víctimas, los atacantes parecen tener como objetivo principalmente a la población asiática. Los resultados del motor de búsqueda de Baidu fueron los más afectados por la campaña, dirigiendo «cantidades masivas» de tráfico (se abre en una nueva pestaña) a sitios que alojan las aplicaciones maliciosas.

Los propios atacantes también parecen ser asiáticos. Confident los llama SeaFlower y cree que son chinos basándose en pistas sutiles como el idioma de los comentarios en el código fuente, la ubicación de la infraestructura y los marcos y servicios utilizados.

La campaña parece haber estado activa desde al menos marzo de este año, dice Confident, y agrega que es «la amenaza técnicamente más sofisticada dirigida a los usuarios de Web3, solo superada por el infame Grupo Lazarus».

Via: BleepingComputer (si apre in una nuova scheda)

Condividi questo