Vaciadores de criptomonedas se venden ahora como malware fácil de usar en ferias de la industria de TI

Los "crypto drainers" o vaciadores de criptomonedas —malware diseñado para robar criptomonedas— se han vuelto ahora más accesibles a medida que el ecosistema evoluciona hacia un modelo de negocio de software como servicio (SaaS).

En un informe del 22 de abril, AMLBot, la empresa de cumplimiento y análisis cripto,  reveló que muchas operaciones de vaciadores han pasado a un modelo SaaS conocido como drenador como servicio (DaaS). El informe reveló que los propagadores de malware pueden alquilar un drainer por tan sólo 100 a 300 USDt .

El CEO de AMLBot, Slava Demchuk, dijo a Cointelegraph que "anteriormente, entrar en el mundo de las estafas de criptomonedas requería una buena cantidad de conocimientos técnicos" aparentemente, este ya no es el caso. Bajo el modelo DaaS, "empezar no es significativamente más difícil que con otros tipos de ciberdelincuencia".

Demchuk explicó que los aspirantes a estafadores se unen a comunidades en línea para aprender de estafadores experimentados que proporcionan guías y tutoriales. Así es como muchos delincuentes involucrados en campañas tradicionales de phishing pasan al espacio de los vaciadores de criptomonedas.

• Relacionado: Hackers norcoreanos tienen como objetivo a desarrolladores cripto con falsas pruebas de reclutamiento

El cibercrimen en Rusia, casi legal

Los grupos que ofrecen drenadores de criptos como un servicio son cada vez más audaces y algunos están evolucionando casi como modelos de negocios tradicionales, dijo Demchuk, y agregó:

"Curiosamente, algunos grupos de drenadores se han vuelto tan audaces y profesionalizados que incluso montan stands en conferencias del sector: CryptoGrab es un ejemplo de ello".

Cuando se le preguntó cómo una operación delictiva puede enviar representantes a eventos de la industria de las tecnologías de la información sin que se produzcan repercusiones, como detenciones, señaló a la aplicación de la ciberdelincuencia rusa como la razón. "Todo esto puede hacerse en jurisdicciones como Rusia, donde la piratería informática está ahora esencialmente legalizada si no estás operando en el espacio postsoviético", dijo.

Esta práctica ha sido un secreto a voces en el sector de la ciberseguridad durante muchos años. La publicación de noticias sobre ciberseguridad KrebsOnSecurity informó en 2021 que "prácticamente todas las cepas de ransomware" se desactivan sin causar daños si detectan teclados virtuales rusos instalados.

Del mismo modo, el ladrón de información Typhon Reborn v2 comprueba la geolocalización IP del usuario con una lista de países postsoviéticos. Según la empresa de redes Cisco, si determina que se encuentra en uno de esos países, se desactiva. La razón es sencilla: Las autoridades rusas han demostrado que actuarán si los hackers locales atacan a ciudadanos del bloque postsoviético.

Los vaciadores siguen creciendo

Demchuk explicó además que las organizaciones DaaS suelen encontrar su clientela en las comunidades de phishing existentes. Esto incluye foros de gray hat y black hat, tanto en clearnet (internet regular) como en darknet (deep web), así como grupos y canales de Telegram y plataformas de mercado gris.

En 2024, Scam Sniffer informó de que los drenadores fueron responsables de unos 494 millones de dólares en pérdidas, un aumento del 67% respecto al año anterior, a pesar de un incremento del 3,7% en el número de víctimas. Los drenadores están en aumento, y el gigante de la ciberseguridad Kaspersky informó que el número de recursos en línea dedicados a ellos en los foros de la darknet aumentó de 55 en 2022 a 129 en 2024.

Los desarrolladores suelen ser reclutados a través de anuncios de trabajo normales. El investigador de inteligencia de código abierto de AMLBot, que prefiere permanecer en el anonimato por razones de seguridad, dijo a Cointelegraph que mientras investigaba los vaciadores, su equipo "se encontró con varios anuncios de trabajo dirigidos específicamente a desarrolladores para construir vaciadores para ecosistemas Web3".

Él proporcionó un anuncio de trabajo que describía las características requeridas de un script que vaciaría los monederos de Hedera . Una vez más, la oferta estaba dirigida principalmente a personas de habla rusa:

"Esta solicitud se escribió originalmente en ruso y se compartió en un chat de Telegram orientado a desarrolladores. Es un claro ejemplo de cómo se recluta activamente talento técnico en comunidades de nicho, a menudo semiabiertas".

El investigador añadió además que anuncios como este aparecen en chats de Telegram para desarrolladores de contratos inteligentes. Esos chats no son privados ni están restringidos, pero son pequeños, y suelen tener entre 100 y 200 miembros.

Los administradores borraron rápidamente el anuncio puesto como ejemplo. Aun así, "como suele ocurrir, quienes necesitaban verlo ya habían tomado nota y respondido".

Tradicionalmente, este tipo de negocios se llevaban a cabo en foros especializados de clearnet y foros de la deep web accesibles a través de la red Tor. Aun así, el investigador afirmó que gran parte del contenido se trasladó a Telegram gracias a su política de no compartir datos con las autoridades. Esto cambió tras la detención del CEO de Telegram, Pavel Durov:

"Tan pronto como Telegram anunció que estaba dando datos, entonces el flujo de salida hacia Tor comenzó de nuevo, porque es más fácil protegerse allí".

Aún así, se trata de una preocupación para los ciberdelincuentes que puede que ya no sea relevante. A principios de esta semana, Durov expresó su recelo por una creciente amenaza a la mensajería privada en Francia y otros países de la Unión Europea, advirtiendo que Telegram preferiría salir de ciertos mercados antes que implementar puertas traseras de cifrado que socavan la privacidad de los usuarios.