Ingenieros de Ciberseguridad alertan sobre falsos enlaces de Zoom que esconden un malware creado para robar criptomonedas. Los estafadores buscan nuevas formas de sustraer criptoactivos y ahora están distribuyendo un esquema de distribución de malware basado en phishing.

La alerta ha sido difundida por un ingeniero de ciberseguridad y coleccionista de NFT seudónimo, NFT_Dreww.eth. Mediante un hilo de Twitter ha llamado la atención de la comunidad para frenar este nuevo esquema. “Los estafadores se están volviendo extremadamente sofisticados y han desarrollado sus tácticas para hacerse pasar por Zoom, que, si se descarga, se lleva todo lo de tu dispositivo… Más de $300.000 robados hasta ahora…”, escribió.

Además, explicó que los ciber delincuentes están asechando a sus posibles víctimas con alguna “oportunidad de inversión” inventada. Algunos anzuelos usados son: licenciar la propiedad intelectual, invitarlos a un espacio de discusión en Twitter, perdir que se conviertan en “inversores ángeles” o que se una a algún proyecto.

Te puede interesar: CAMBOYA: Huione Guarantee ha Permitido una Gran Estafa Criptográfica

¿Cómo es que usan Zoom para estafar?

Algunos de los anzuelos nombrados anteriormente se usan como gancho para atraer a los incautos usuarios. Luego se les inviste en “discutir la oportunidad a través de Zoom”. Es aquí donde comienza realmente el proceso de estafa, mendiante la conversación los estafadores abren la oportunidad para compartir el enlace malicioso. 

Para poder enganchar a sus víctimas, los atacantes también utilizan tácticas de alta presión, como enviar una captura de pantalla de una llamada de Zoom llena de personas esperando a la víctima. Por supuesto esto no es más que una tramoya para sustentar su mentira. 

La página a la que conduce el link malicioso tiene apariencia legítima. Incluso si la víctima tiene Zoom instalado mostrará una pantalla de carga mientras descarga ZoomInstallerFull.exe. Aunque en realidad lo que se está descargando es el malware que se hace pasar por un instalador de Zoom el que le pedirá a la víctima que acepte los términos y condiciones que los usuarios de Windows.

Te puede interesar: “SolesBot”, el Último Esquema Ponzi en Venezuela

Un enlace muy realista y un Malware imposible de borrar 

La apariencia es real y el usuario cree que está instalando una verdadera versión de Zoom. Pero no es así, una vez que se completa la “instalación”, la página de carga de llamadas sigue girando hasta que en algún momento redirige a la víctima al sitio web legítimo de Zoom. El tiempo que tarda, que podía verse como “una eternidad”, en realidad sirve para el malware se ejecute y cumpla su función. 

El malware se alojará en la lista de exclusión de Windows Defender, lo que hace que Windows no pueda bloquearlo. Este software malicioso comenzará a ejecutar su carga útil y a extraer información del usuario mientras la víctima está ocupada mirando la pantalla de la videollamada que se está cargando y aceptando términos y condiciones falsos.

La efectividad del antivirus depende de si ese malware fue cifrado antes de ser enviado al objetivo. Yo diría que en la mayoría de los casos, no es efectivo en absoluto, ya que los actores de amenazas preparan sus ataques contra objetivos de alto valor y cifran su malware antes de interactuar con la víctima potencial.

Artem Irgebaev, Smart Contract Triager en Immunefi.

IMPORTANTE 

Los enlaces maliciosos utilizan el subdominio zoom del dominio us50web.us. A primera vista, el resultado zoom.us50web.us puede parecer legítimo, en gran parte gracias al confuso esquema de nombres de los dominios y subdominios de Zoom. Por otra parte, Drew también cita el dominio us50web-zoom.us como ejemplo.

Artículos relacionadosMás del autor