Durante el pasado fin de semana, Check Point Research ha detectado el robo de cientos de miles de dólares en criptomonedas por parte de diferentes ciberdelincuentes. Para atraer a sus víctimas, han colocado anuncios de Google en la parte superior de su búsqueda que imitaban carteras y plataformas populares, como Phantom App, MetaMask y Pancake Swap.
Cada anuncio contenía un enlace malicioso que, una vez pulsado, dirigía a la víctima a un sitio web de phishing que copiaba meticulosamente la marca y los mensajes de la página del monedero original. A partir de ahí, los cibercriminales engañaban a los usuarios para que les dieran sus contraseñas de monedero, preparando el terreno para el robo del mismo.
Tradicionalmente, las campañas de phishing se originan a través del correo electrónico. En lo que parece ser una nueva tendencia, varios grupos de ciberdelincuentes están pujando por palabras clave relacionadas con los monederos en Google Ads, utilizando la búsqueda de Google como vector de ataque para dirigirse a los monederos de criptomonedas de las víctimas.
Cómo funciona la estafa
- El ciberdelincuente coloca un anuncio en Google para que aparezca en primera posición en una consulta de búsqueda relacionada con un monedero de criptomonedas.
- La víctima hace clic en el enlace malicioso del anuncio de Google.
- El usuario es redirigido a una página web de suplantación de identidad que parece idéntica a la página web del monedero original.
- El sitio web falso intenta robar su contraseña, si ya tiene un monedero, o le proporciona una nueva contraseña para su monedero recién creado.
- En ambos casos, el ciberdelincuente obtiene acceso a su cartera y puede proceder a robar todas sus criptomonedas.
¿Qué aspecto tienen estas amenazas?
Para el dominio “phantom.app”, CPR encontró variantes de phishing como phanton.app o phantonn.app, o incluso diferentes extensiones como “.pw” y más.
Y, como se describe anteriormente, cada anuncio malicioso conduce a una página web de phishing creada para lograr el hurto de los credenciales y contraseña del usuario.
Seguimiento de las víctimas
Se han vulnerado 11 cuentas de monedero, cada una de las cuales contenía entre 1.000 y 10.000 dólares y los ciberdelincuentes han retirado algunos de los fondos antes de ser descubiertos. Se estima que el pasado fin de semana se han robado más de 500.000 dólares.
“En cuestión de días, hemos sido testigos del robo de cientos de miles de dólares en criptomonedas. Estimamos que sólo el pasado fin de semana se robaron más de 500.000 dólares. Creo que estamos ante una nueva tendencia de ciberdelincuencia, en la que los estafadores utilizarán la búsqueda de Google como vector de ataque principal para llegar a las criptocarteras, en lugar del tradicional phishing a través del correo electrónico”, alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
Cómo defenderse de este nuevo vector de ataque - Examinar la URL del navegador: sólo la extensión debe crear la passphrase, y para entender si se trata de una extensión o de una página web mira siempre la URL del navegador.
- Buscar el icono de la extensión: la extensión contendrá un icono de ampliación cerca de ella y una URL de extensión de Chrome.
- No facilitar nunca la passphrase: Los usuarios nunca deben dar su contraseña, nadie debe pedirla. Sólo se utilizará cuando se instale un nuevo monedero.
- Saltar los anuncios: si se buscan carteras o plataformas de intercambio de criptomonedas, siempre hay que mirar el primer sitio web en su búsqueda y no en el anuncio, ya que estos pueden inducir a ser estafado por los ciberdelincuentes.
- Mirar la URL: por último, pero no por ello menos importante, ¡hay que comprobar siempre dos veces las URL!
“Cada anuncio tenía una cuidadosa selección de mensajes y palabras clave, con el fin de destacar en los resultados de búsqueda. Los sitios web de phishing a los que se dirigía a las víctimas reflejaban una meticulosa copia e imitación de los mensajes de la marca de monederos. Y lo más alarmante es que varios grupos de ciberdelincuentes están pujando por palabras clave en Google Ads, lo que probablemente sea una señal del éxito de estas nuevas campañas de phishing orientadas al robo de criptocarteras. Desafortunadamente, se espera que esto se convierta en una tendencia de rápido crecimiento en el ámbito de la ciberdelincuencia. Pedimos a la comunidad de criptomonedas a que compruebe dos veces las URL en las que hace clic y evite hacer clic en los anuncios de Google relacionados con las criptocarteras en este momento”, concluye Nieva.