Los hackers atacaron a los especialistas en criptomonedas bajo la apariencia de inversores de riesgo - ForkLog: criptomonedas, IA, singularidad, futuro

2026-03-03 12:09:44

# Los hackers atacaron a especialistas en criptomonedas disfrazados de inversores de riesgo

Los analistas de Moonlock Lab revelaron un ataque masivo contra desarrolladores de Web3 y expertos en criptomonedas. Los hackers se hacen pasar por inversores de riesgo y buscan víctimas en LinkedIn.

Los delincuentes elogian los proyectos de los especialistas y proponen colaboración. Luego envían enlaces a videoconferencias falsas que infectan las computadoras con virus.

Ilusión de negocio legal

Los atacantes crearon tres fondos de criptomonedas ficticios: SolidBit Capital, MegaBit y Lumax Capital. Los sitios web de las organizaciones parecen confiables. Allí se indican la historia corporativa, el portafolio de inversiones y la lista de directivos. Las imágenes de los empleados fueron generadas por una red neuronal.

Fuente: Moonlock Lab. Los estafadores contactan a los especialistas desde cuentas falsas. Se hacen pasar por altos directivos de estos fondos. La conversación comienza con cumplidos a los logros profesionales de la víctima.

Infección mediante ClickFix

Los delincuentes rápidamente trasladan la comunicación a mensajeros y convocan a videollamadas. La víctima recibe un enlace al servicio Calendly. La dirección redirige al usuario a una copia exacta del sitio de Zoom, Google Meet u otro servicio similar.

En la pantalla aparece una ventana de verificación de Cloudflare. El sistema pide marcar una casilla y confirmar que el usuario no es un robot. Esta es una técnica de hacker llamada ClickFix.

Al hacer clic en el botón, se copia silenciosamente código malicioso al portapapeles. El sitio muestra una instrucción animada con un temporizador. Se pide al usuario abrir la terminal del sistema, pegar el texto copiado y presionar Enter.

El código detecta automáticamente el sistema operativo:

en Windows se inicia un proceso oculto directamente en la memoria RAM. El virus no guarda archivos en el disco duro, lo que permite evadir los sistemas de protección;
en macOS el script verifica la presencia de Python, descarga en secreto las bibliotecas necesarias y se instala en el sistema.

Fuente: Moonlock Lab. En algunos casos, los hackers enviaron a las víctimas una aplicación que copia completamente la interfaz real de Zoom en Mac. El programa simula la ventana de inicio de sesión, recopila las contraseñas y las envía a un bot de Telegram de los estafadores.

Conexión con hackers norcoreanos

Las direcciones de los sitios falsos están registradas a nombre de Anatoliy Bigdash, de Boston, EE. UU. Los expertos dudan de la existencia real de esta persona.

Fuente: Moonlock Lab. Los investigadores notaron coincidencias en la táctica con los métodos del grupo UNC1069. Este equipo ha estado hackeando proyectos de criptomonedas desde 2018. Analistas de Mandiant lo relacionaron anteriormente con Corea del Norte. Los criminales usan estructuras similares en enlaces maliciosos y escenarios de engaño mediante videollamadas falsas.

Para protegerse de estos ataques, los especialistas recomiendan verificar las fechas de registro de los dominios de los interlocutores. Los servicios legítimos nunca piden a los usuarios ingresar comandos en la terminal para verificar su identidad o iniciar transmisiones. La detección del engaño se puede hacer al seguir enlaces externos.

Recordemos que en junio de 2025, el socio inversor de la firma de riesgo Hypersphere, Mehdi Faruk, fue víctima de un ataque de phishing mediante una llamada falsa en Zoom.

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.