Un grupo de ciberdelincuentes ha reformulado una campaña en WordPress iniciada hace unas semanas con la que se promueven promociones y descuentos fraudulentos para comprar criptomonedas, utilizando ventanas emergentes que contienen drenadores de criptodivisas.
Un drenador de criptomonedas es un tipo de ‘malware‘ que está diseñado para vaciar rápidamente las carteras contenedoras de estos activos de forma automática al extraerlos todos o solo los que tienen más valor, a fin de ingresarlos en las carteras de los ciberdelincuentes.
La empresa de ciberseguridad Sucuri descubrió hace unos meses que agentes maliciosos habían comprometido alrededor de mil cuentas de WordPress para promover este tipo de ‘software’ malicioso a través de publicidad engañosa y vídeos de Youtube.
Más concretamente, el investigador senior de la firma Denis Sinegubko comentó que este ‘malware’ se había distribuido en múltiples campañas, bien inyectándolo directamente en sitios web comprometidos o redirigiendo a los visitantes de páginas de WordPress a sitios de ‘phishing’ Web3 contenedores de estos drenadores.
Poco después, el analista comentó que, tras seguir de cerca la variante maliciosa más importante, que inyectaba drenajes empleando el ‘script’ externo ‘cachingjs/turboturbo.js’, el equipo de Securi había descubierto esta versión en más de 1,200 sitios desde principios de feberero de 2024 gracias a la herramienta SiteCheck.
Ahora se cree que esta primera campaña maliciosa no resultó rentable para los ciberdelincuentes, que habrían rediseñado el modo de dirigirse a estas víctimas para invitarles a conectar sus cuentas en plataformas de criptomonedas, según ha adelantado MalwareHunterTeam.
Según los responsables de este equipo, los ciberdelincuentes comenzaron una campaña que muestran ‘pop ups‘ aleatorias “que parecen más o menos legítimas”, que promocionan ofertas de tokens no fungibles o NFT falsas y descuentos, a fin de que los usuarios vinculen sus criptocarteras con estas webs.
“Desde el principio y en menos de 24 horas se vieron comprometidos con esto más de 1,500 sitios web”, ha señalado MalwareHunterTeam en su cuenta de X (antes Twitter), desde donde ha recomendado acceder a la aplicación web de análisis de ‘malware’ URLScan.
Este servicio muestra más de 2,000 sitios web comprometidos que han cargado fragmentos de código malicioso desde el dominio ‘dynamic-linx.com’ el mismo que advirtió Securi hace un mes durante la última semana, según ha indicado Bleeping Computer.
El código malicioso muestra una ventana emergente que invita a los usuarios a vincular sus carteras para obtener beneficios. Una vez se pulsa el botón ‘Conectar’, estos ‘scripts‘ inicialmente muestran soporte nativo para las firmas Safe Wallet, MetaMask, Trust Wallet, Ledger o Coinbase.
Por tanto, una vez se ha completado el proceso de enlace, los drenadores de criptomonedas pueden robar todos los fondos y NFT de las cuentas, para enviarlas después a los servidores o actores de amenazas.
Bleeping Computer ha señalado que los drenadores de criptomonedas se han convertido en un problema para la comunidad que utiliza estos activos, por lo que ha recomendado a los usuarios conectar sus billeteras únicamente a operadoras y plataformas confiables.
