Descubierta una campaña que suplanta la app SafeMoon para distribuir malware

  • Endpoint

La campaña utiliza una actualización falsa de la conocida aplicación de criptomonedas para atraer a los usuarios de Discord a un sitio web malicioso que descarga una herramienta de acceso remoto llamada Remcos, que proporciona al atacante una puerta trasera para robar datos.

Recomendados: 

El papel de la ciberinteligencia en la seguridad empresarial Webinar

La hoja de ruta de DevOps en materia de seguridad Leer 

Los intentos de los ciberdelincuentes de aprovechar las oportunidades de las criptomonedas, tratando de tomar el control remoto de los ordenadores de los usuarios para robar sus contraseñas y dinero, son continuados. Es el caso de una campaña descubierta recientemente por ESET, la cual suplanta la aplicación de criptomonedas SafeMoon y utiliza una actualización falsa para atraer a los usuarios de Discord a un sitio web que distribuye una conocida herramienta de acceso remoto (RAT).

Desde su creación, hace ahora seis meses, la altcoin SafeMoon se ha hecho tremendamente popular por sus numerosos entusiastas en las redes sociales. Aprovechando la repentina popularidad de SafeMoon, los estafadores han enviado a varios usuarios en Discord un mensaje donde se hacen pasar por la cuenta oficial de SafeMoon para promocionar una nueva versión de la aplicación. Si el usuario hiciera clic en la URL del mensaje, llegaría a una web que está diseñada para parecerse al sitio oficial de SafeMoon, y cuyo nombre de dominio también imita a su homólogo legítimo, salvo que añade una letra extra al final con la esperanza de que la diferencia pase desapercibida para la mayoría de los usuarios. En el momento de difundir la presente información, el sitio web malicioso sigue en funcionamiento.

Tal y como afirman los expertos de ESET, los enlaces externos de dicho sitio son legítimos, salvo el enlace que le solicita al usuario que se descargue la aplicación "oficial" de SafeMoon desde Google Play Store. En lugar de la app oficial para dispositivos Android, el usuario que caiga en la trampa se descargará un payload que incluye una RAT llamada Remcos, un software de Windows bastante común que, aunque se promociona como una herramienta legítima, también se comercializa en foros clandestinos, ya que si se utiliza con fines fraudulentos es considerada como un "troyano de acceso remoto".

Remcos proporciona al atacante una puerta trasera en el ordenador de la víctima que se utiliza para recoger datos sensibles de la misma. Funciona a través de un servidor de mando y control (C&C) cuya dirección IP se inyecta en los archivos descargados. Las capacidades de Remcos incluyen el robo de las credenciales de inicio de sesión de varios navegadores web, el registro de las pulsaciones del teclado, el secuestro de la cámara web, la captura de audio desde el micrófono de la víctima, la descarga y ejecución de malware adicional en la máquina, etc.