100 000 $ devueltos — estafa de malvertising frustrada
Unos estafadores rusos se hicieron pasar por un proyecto de criptomonedas mediante publicidad maliciosa y malware de robo de datos. Detectamos la operación, restablecimos el acceso a los monederos y devolvimos más de 100 000 dólares. Los fondos recuperados que sobraron se donaron a @_SEAL_Org. A continuación: desglose, IOC y conclusiones.
Resumen
Un proyecto de criptomonedas fue víctima de un ataque de ingeniería social camuflado como una colaboración publicitaria legítima. THE ENABLERS REGISTRY restableció el acceso a la cartera y recuperó más de 100 000 dólares en fondos comprometidos, y posteriormente redirigió la recompensa ofrecida a una organización externa para mantener su independencia.
Lo que debes saber
- La cartera ya había sido pirateada; los fondos ya se habían transferido.
- Se restableció el acceso y $100K+ Se le impidió quedarse con el agresor.
- El proyecto ofrecía una recompensa, que fue rechazada y destinada a @_SEAL_Org en su lugar.
- Este trabajo se lleva a cabo de forma independiente, como iniciativa propia, y no como un empleo remunerado.
Cómo funcionaba la estafa
- La víctima recibió una propuesta de colaboración o publicidad relacionada con un juego de criptomonedas.
- El ataque parecía creíble: una página web profesional, una presencia consolidada en X (Twitter) y videollamadas que parecían legítimas.
- Durante las llamadas, los atacantes solicitaban la instalación de un «visor de entorno de trabajo» para acceder a los materiales.
- El «espectador» era malware de robo de datos.
- Los atacantes retiraron fondos, intercambiaron tokens entre cadenas y transfirieron activos a su propio monedero.
Medidas de respuesta adoptadas
- Se ha confirmado la intrusión y se ha detenido cualquier movimiento posterior.
- Se ha restablecido el acceso a la cartera para su legítimo propietario.
- Se ha asegurado y reasignado el control del monedero receptor del atacante al equipo de la víctima.
- Medidas de seguimiento coordinadas para reducir el riesgo residual.
Refuerzo de la seguridad tras un incidente
Seguridad de los dispositivos
- Guía paso a paso para manejar de forma segura los dispositivos infectados
- Aislamiento de la red, revocación de sesiones, rotación de credenciales y claves, plan de reconstrucción completa
Configuración operativa
- Puesto de trabajo nuevo y limpio dedicado a las operaciones con monederos electrónicos
- Sistema operativo nuevo, descargas exclusivas del fabricante, monedero físico, número mínimo de extensiones, perfil de navegador independiente, autenticación de dos factores (2FA)
Preparación para el examen de ciencias forenses
- Orientaciones sobre instantáneas de disco y recopilación de registros del sistema y de las aplicaciones
- Conservación de pruebas para una posible investigación judicial
Entender el concepto de «desviación»
Publicidad Se trata de una forma de ingeniería social de tipo empresarial en la que los delincuentes imitan los procesos habituales (compra de publicidad, colaboraciones, relaciones públicas) para engañar a los usuarios y que instalen «clientes» maliciosos.
Señales de alerta habituales:
- «Instala nuestro gestor de anuncios o nuestra herramienta de ayuda para sincronizar los creativos»
- «Utiliza nuestro cliente personalizado de Zoom/[REDACTED] para la llamada»
- «Accede a nuestro dossier de prensa/acuerdo de confidencialidad a través de un visor seguro»
La recompensa y la independencia
- El proyecto ofreció una recompensa porque la recuperación superó la pérdida inicial.
- THE ENABLERS REGISTRY decidió no quedarse con la recompensa.
- Todo el superávit se destinó a @_SEAL_Org.
- Esto garantiza la independencia: no hay fuentes de financiación ni obligaciones.
Principios fundamentales
- Solo independencia: sin presupuestos ni condiciones.
- Un enfoque centrado en los resultados, por encima del debate.
- Nos oponemos a cualquier «cliente especial» o software no verificado.
- Divulgación selectiva que ayude a las víctimas, no a los autores de las amenazas.
- Presión directa sobre la infraestructura del atacante.
Recomendaciones prácticas
Para proyectos y equipos
- Nunca instales programas de visualización, clientes o actualizadores para el lugar de trabajo procedentes de terceros no verificados.
- Descarga Zoom y [REDACTED] únicamente desde las páginas web oficiales de los proveedores.
- Evita los enlaces patrocinados sobre monederos, puentes y airdrops.
- Es preferible utilizar carteras físicas con almacenamiento de la semilla fuera de línea.
- En caso de vulneración: revoca las sesiones, transfiere los fondos, renueva las claves, vuelve a generar los secretos y solicita ayuda de inmediato.
Para la comunidad
- Denuncia cualquier actividad sospechosa a través de nuestro bot de [REDACTED].
- Accede a las directrices y recursos sobre medidas esenciales en enablers.report/acción-urgente.
Conclusión
A pesar de que ya se han transferido fondos, THE ENABLERS REGISTRY acceso restablecido y garantizó que el atacante no pudiera quedarse con los activos robados. Al rechazar la recompensa y destinar los fondos sobrantes a otros fines, la organización mantiene su modelo operativo independiente y sin remuneración, centrado en una respuesta rápida y eficaz ante los incidentes.
