Los usuarios de criptomonedas se enfrentaron a un aumento de los ataques "psicológicamente manipuladores" en el segundo trimestre del año, ya que los hackers idearon formas avanzadas y creativas de intentar robar criptomonedas, según la empresa de seguridad blockchain SlowMist.

Lisa, directora de operaciones de SlowMist, afirmó en el informe MistTrack Stolen Fund Analysis del segundo trimestre de la empresa que, aunque no se observó un avance en las técnicas de hackeo, las estafas se han vuelto más sofisticadas; ha habido un aumento de las extensiones de navegador falsas, los monedero de hardware manipulados y los ataques de ingeniería social.

"Al repasar el segundo trimestre, destaca una tendencia: puede que los métodos de los atacantes no sean técnicamente más avanzados, pero se están volviendo más manipuladores desde el punto de vista psicológico".

"Estamos viendo un claro cambio de los ataques puramente on-chain a puntos de entrada fuera de la cadena: las extensiones de navegador, las cuentas de redes sociales, los flujos de autenticación y el comportamiento de los usuarios se están convirtiendo en superficies de ataque comunes", afirmó Lisa.

Las extensiones maliciosas del navegador se hacen pasar por complementos de seguridad

Irónicamente, uno de los vectores de ataque emergentes consistía en extensiones del navegador que se hacían pasar por complementos de seguridad, como la extensión "Osiris" de Chrome, que afirmaba detectar enlaces de phishing y sitios web sospechosos.

En cambio, la extensión intercepta todas las descargas de archivos .exe, .dmg y .zip, y los sustituye por programas maliciosos.

"Aún más insidiosamente, los atacantes guiaban a los usuarios para que visitaran sitios web conocidos y de uso común, como Notion o Zoom", afirma Lisa.

"Cuando el usuario intentaba descargar software de estos sitios oficiales, los archivos entregados ya habían sido sustituidos de forma maliciosa, pero el navegador seguía mostrando la descarga como procedente de una fuente legítima, lo que hacía casi imposible que los usuarios detectaran algo sospechoso".

A continuación, estos programas recopilaban información confidencial del ordenador del usuario, incluidos los datos del navegador Chrome y las credenciales de Keychain de macOS, lo que permitía al atacante acceder a frases semilla, claves privadas o credenciales de inicio de sesión.

La información confidencial del ordenador de la víctima se envía al servidor del atacante. Fuente: SlowMist

Los ataques se aprovechan de la ansiedad de los criptousuarios

SlowMist afirmó que otro método de ataque se centraba en engañar a los criptoinversores para que adoptaran monederos de hardware manipulados.

En algunos casos, los hackers enviaban a los usuarios un monedero frío comprometido, diciéndoles a sus víctimas que habían ganado un dispositivo gratuito en un "sorteo" o que su dispositivo actual estaba comprometido y que debían transferir sus activos.

Según Lisa, en el segundo trimestre, una víctima perdió 6,5 millones de dólares al comprar un monedero frío manipulado que vio en TikTok.

Phishing, Scams, Hacks
Fuente: Intelligence on Chain

Otro atacante vendió a una víctima un monedero de hardware que ya había preactivado, lo que le permitió drenar inmediatamente los fondos una vez que los nuevos usuarios transfirieron sus criptomonedas para su almacenamiento.

Ingeniería social con un sitio web falso de revocación

SlowMist dijo que también fue contactado en el segundo trimestre por un usuario que no podía revocar una "autorización arriesgada" en su monedero.

Tras investigar, SlowMist afirmó que el sitio web que el usuario estaba utilizando para intentar revocar el permiso del contrato inteligente era "un clon casi perfecto de la popular interfaz Revoke Cash", que pedía a los usuarios que introdujeran su clave privada para "comprobar si había firmas de riesgo".

"Tras analizar el código front-end, confirmamos que este sitio web de phishing utilizaba EmailJS para enviar la información introducida por los usuarios, incluidas las claves privadas y las direcciones, a la bandeja de entrada del correo electrónico del atacante".

SlowMist descubrió que los ataques de phishing, el fraude y las filtraciones de claves privadas fueron las principales causas de robo en el segundo trimestre. Fuente: SlowMist

"Estos ataques de ingeniería social no son técnicamente sofisticados, pero destacan por explotar la urgencia y la confianza", afirmó Lisa.

"Los atacantes saben que frases como "se ha detectado una firma arriesgada" pueden provocar pánico y llevar a los usuarios a tomar medidas precipitadas. Una vez que se desencadena ese estado emocional, es mucho más fácil manipularlos para que hagan cosas que normalmente no harían, como hacer clic en enlaces o compartir información confidencial".

Los ataques explotan la actualización Pectra y los amigos de WeChat

Otros ataques incluyeron técnicas de phishing que explotaban el EIP-7702, introducido en la última actualización Pectra de Ethereum, mientras que otro se dirigió a varios usuarios de WeChat al obtener el control de sus cuentas.

La revista Cointelegraph informó recientemente que los atacantes utilizaron el sistema de recuperación de cuentas de WeChat para obtener el control de una cuenta, suplantando al propietario real para estafar a sus contactos con Tether (USDT) con descuento.

Los datos del segundo trimestre de SlowMist proceden de 429 denuncias de fondos robados presentadas a la empresa durante el segundo trimestre.

La empresa afirmó que congeló y recuperó alrededor de 12 millones de dólares de 11 víctimas que denunciaron el robo de criptomonedas en el segundo trimestre.