Un ataque sofisticado está dirigido a profesionales de web3, engañándolos para que ejecuten código malicioso en sus sistemas durante entrevistas falsas como parte de una oferta lucrativa de estafadores criptográficos disfrazados de reclutadores.
El 28 de diciembre, el investigador en cadena Taylor Monahan marcado un nuevo esquema aprovechado por malos actores que afirman ser reclutadores de destacadas empresas criptográficas para acercarse a objetivos con lucrativas ofertas de trabajo en plataformas como LinkedIn, plataformas independientes, Telegram, etc.
Una vez que la víctima está interesada, se la redirige a una plataforma de entrevistas en video denominada “Willo | Video Interviewing”, que no es malicioso en sí mismo, pero está diseñado para que todo el plan parezca convincente para las víctimas.
Como parte del proceso, a las víctimas inicialmente se les hacen preguntas estándar relacionadas con la industria, como sus puntos de vista sobre las tendencias criptográficas importantes durante los próximos 12 meses. Estas preguntas ayudan a generar confianza y hacer que la interacción parezca legítima.
Sin embargo, el verdadero ataque se desarrolla durante la pregunta final, que requiere grabarla en vídeo. Al intentar configurar el proceso de grabación de vídeo, las víctimas encuentran un problema técnico con su micrófono o cámara.
Aquí es cuando se produce el verdadero ataque, ya que el sitio web presenta pasos de solución de problemas maliciosos enmascarados como una solución al problema.
Según Monahan, si un usuario sigue los pasos, que en algunos casos implican ejecutar comandos a nivel de sistema dependiendo de sus sistemas operativos, les otorga a los atacantes acceso de puerta trasera a sus dispositivos.
“Les permite hacer cualquier cosa en su dispositivo. En realidad, no es un ladrón de propósito general, es un acceso de propósito general. En última instancia, lo castigarán por cualquier medio que sea necesario”, escribió Monahan.
Este acceso podría permitir potencialmente a actores maliciosos eludir las medidas de seguridad, instalar malware, monitorear actividades, robar datos confidenciales o vaciar billeteras de criptomonedas sin el conocimiento de la víctima, según los resultados típicos observados en ataques similares.
Monahan aconsejó a los usuarios de criptomonedas que evitaran ejecutar códigos desconocidos y recomendó que aquellos que hayan estado expuestos a tales ataques borren sus dispositivos por completo para evitar un mayor compromiso.
El ataque se desvía de las tácticas habituales que se observan en estafas similares de contratación laboral. Por ejemplo, la empresa de ciberseguridad Cado Security Labs descubrió a principios de este mes un plan que involucraba una aplicación de reunión falsa que inyectaba malware, lo que permitía a los atacantes drenar carteras de criptomonedas y robar credenciales almacenadas en el navegador.
De manera similar, el año pasado, crypto.news informó un incidente en el que reclutadores fraudulentos se dirigieron a desarrolladores de blockchain en Upwork, instruyéndoles a descargar y depurar paquetes npm maliciosos alojados en un repositorio de GitHub. Una vez ejecutados, estos paquetes implementaban scripts que otorgaban a los atacantes acceso remoto a los dispositivos de las víctimas.
