La firma de ciberseguridad ESET alerta sobre los continuos intentos de los ciberdelincuentes de aprovechar las oportunidades en el turbulento mundo de los criptoactivos, tratando de tomar el control remoto de los ordenadores de los usuarios para robar sus contraseñas y dinero.

En este sentido, detecta una campaña que suplanta la aplicación de criptoactivos SafeMoon y utiliza una actualización falsa para atraer a los usuarios de Discord a un sitio web que distribuye una conocida herramienta de acceso remoto (RAT).

SafeMoon es una de las últimas altcoins que desde su creación, hace ahora seis meses, se ha hecho tremendamente popular (y volátil) gracias a la locura alimentada por los influencers y por sus numerosos entusiastas en las redes sociales. Esta nueva “moda“ no ha pasado desapercibida para los ciberdelincuentes, en un entorno en el que las estafas dirigidas a los usuarios de criptodivisas -incluyendo fraudes con nombres de celebridades para darles un atractivo adicional- proliferan desde hace años.

La estafa que aprovecha la repentina popularidad de SafeMoon comienza con un mensaje que los estafadores han enviado a varios usuarios en Discord, donde se hacen pasar por la cuenta oficial para promocionar una nueva versión de la aplicación.

Si el usuario hiciera clic en la URL del mensaje, llegaría a una web que aparentemente está diseñada para parecerse al sitio oficial de SafeMoon (en realidad, a su versión antigua). El nombre de dominio, del que informó por primera vez en agosto de 2021 un usuario de Reddit, también imita a su homólogo legítimo, salvo que añade una letra extra al final con la esperanza de que la diferencia pase desapercibida para la mayoría de los usuarios, en sus prisas por obtener la «actualización» requerida. En el momento de difundir la presente información, el sitio web malicioso sigue en funcionamiento.

Los enlaces externos son legítimos, excepto quizás el más importante: el que le solicita al usuario que se descargue la aplicación «oficial» de SafeMoon desde Google Play Store. En lugar de la aplicación SafeMoon para dispositivos Android, el usuario que caiga en la trampa se descargará un payload que incluye un software de Windows bastante común y que puede utilizarse tanto para fines legítimos como para otros fraudulentos.

Según indican desde ESET, una vez ejecutado, el instalador (Safemoon-App-v2.0.6.exe) volcará varios archivos en el sistema, incluyendo una RAT llamada Remcos. Aunque se promociona como una herramienta legítima, esta RAT también se comercializa en foros clandestinos, lo que ya le valió una alerta oficial por parte de las autoridades estadounidenses poco después de su publicación. Y es que si se utiliza con fines fraudulentos, a menudo una RAT es considerada como un «troyano de acceso remoto».

Desde entonces, Remcos se ha desplegado en varias campañas, tanto por grupos de cibercrimen como de ciberespionaje. De hecho, hace unos meses los investigadores de ESET descubrieron a Remcos en lo que apodaron «Operación Spalax», donde los autores de la amenaza atacaron a una serie de organizaciones en Colombia.

Como es habitual en las RAT, Remcos proporciona al atacante una puerta trasera en el ordenador de la víctima que se utiliza para recoger datos sensibles de la misma. Funciona a través de un servidor de mando y control (C&C) cuya dirección IP se inyecta en los archivos descargados. Las capacidades de Remcos incluyen el robo de las credenciales de inicio de sesión de varios navegadores web, el registro de las pulsaciones del teclado, el secuestro de la cámara web, la captura de audio desde el micrófono de la víctima, la descarga y ejecución de malware adicional en la máquina, etc.

Un breve vistazo al archivo de configuración de la RAT permite hacerse una idea de su amplia funcionalidad.

Tomando precauciones

Para ayudar a los usuarios a mantenerse a salvo de este tipo de estafas, los expertos de ESET recomiendan tomar unas cuantas precauciones básicas:

• Desconfiar de cualquier comunicación inesperada, ya sea por correo electrónico, redes sociales, mensajes de texto u cualquier otro canal.
• No hacer clic en los enlaces de esos mensajes, especialmente si proceden de una fuente no verificada.
• Estar atentos a las irregularidades en las URLs: es mejor que el usuario escriba por sí mismo la dirección a la que quiere acceder.
• Utilizar contraseñas o frases de contraseña fuertes y únicas, y, siempre que esté disponible, aplicar la autenticación de dos factores (2FA).
• Utilizar un software de seguridad efectivo para la detección y eliminación de  estas amenazas.