Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ES / 100K RETURNED MALVERTISING

100 000 $ devueltos: desmantelada una estafa cripto de malvertising

The Enablers Registry·Editorial mirror·/es/100k-returned-malvertising

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Investigación • 5-7 minutos de lectura

100 000 $ devueltos — estafa de malvertising frustrada

Unos estafadores rusos se hicieron pasar por un proyecto de criptomonedas mediante publicidad maliciosa y malware de robo de datos. Detectamos la operación, restablecimos el acceso a los monederos y devolvimos más de 100 000 dólares. Los fondos recuperados que sobraron se donaron a @_SEAL_Org. A continuación: desglose, IOC y conclusiones.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
Publicado originalmente el Medio — THE ENABLERS REGISTRY

Resumen

Un proyecto de criptomonedas fue víctima de un ataque de ingeniería social camuflado como una colaboración publicitaria legítima. THE ENABLERS REGISTRY restableció el acceso a la cartera y recuperó más de 100 000 dólares en fondos comprometidos, y posteriormente redirigió la recompensa ofrecida a una organización externa para mantener su independencia.

Lo que debes saber

  • La cartera ya había sido pirateada; los fondos ya se habían transferido.
  • Se restableció el acceso y $100K+ Se le impidió quedarse con el agresor.
  • El proyecto ofrecía una recompensa, que fue rechazada y destinada a @_SEAL_Org en su lugar.
  • Este trabajo se lleva a cabo de forma independiente, como iniciativa propia, y no como un empleo remunerado.

Cómo funcionaba la estafa

  • La víctima recibió una propuesta de colaboración o publicidad relacionada con un juego de criptomonedas.
  • El ataque parecía creíble: una página web profesional, una presencia consolidada en X (Twitter) y videollamadas que parecían legítimas.
  • Durante las llamadas, los atacantes solicitaban la instalación de un «visor de entorno de trabajo» para acceder a los materiales.
  • El «espectador» era malware de robo de datos.
  • Los atacantes retiraron fondos, intercambiaron tokens entre cadenas y transfirieron activos a su propio monedero.

Medidas de respuesta adoptadas

  1. Se ha confirmado la intrusión y se ha detenido cualquier movimiento posterior.
  2. Se ha restablecido el acceso a la cartera para su legítimo propietario.
  3. Se ha asegurado y reasignado el control del monedero receptor del atacante al equipo de la víctima.
  4. Medidas de seguimiento coordinadas para reducir el riesgo residual.
Resultado: Se ha restablecido el acceso, se ha recuperado el control y se ha bloqueado el acceso al atacante.

Refuerzo de la seguridad tras un incidente

Seguridad de los dispositivos

  • Guía paso a paso para manejar de forma segura los dispositivos infectados
  • Aislamiento de la red, revocación de sesiones, rotación de credenciales y claves, plan de reconstrucción completa

Configuración operativa

  • Puesto de trabajo nuevo y limpio dedicado a las operaciones con monederos electrónicos
  • Sistema operativo nuevo, descargas exclusivas del fabricante, monedero físico, número mínimo de extensiones, perfil de navegador independiente, autenticación de dos factores (2FA)

Preparación para el examen de ciencias forenses

  • Orientaciones sobre instantáneas de disco y recopilación de registros del sistema y de las aplicaciones
  • Conservación de pruebas para una posible investigación judicial

Entender el concepto de «desviación»

Publicidad Se trata de una forma de ingeniería social de tipo empresarial en la que los delincuentes imitan los procesos habituales (compra de publicidad, colaboraciones, relaciones públicas) para engañar a los usuarios y que instalen «clientes» maliciosos.

Señales de alerta habituales:

  • «Instala nuestro gestor de anuncios o nuestra herramienta de ayuda para sincronizar los creativos»
  • «Utiliza nuestro cliente personalizado de Zoom/[REDACTED] para la llamada»
  • «Accede a nuestro dossier de prensa/acuerdo de confidencialidad a través de un visor seguro»
Regla clave: Si un flujo de trabajo procedente de fuentes desconocidas requiere un cliente, visor o programa de actualización específico, da por hecho que se trata de una amenaza. Utiliza únicamente descargas oficiales de los proveedores.

La recompensa y la independencia

  • El proyecto ofreció una recompensa porque la recuperación superó la pérdida inicial.
  • THE ENABLERS REGISTRY decidió no quedarse con la recompensa.
  • Todo el superávit se destinó a @_SEAL_Org.
  • Esto garantiza la independencia: no hay fuentes de financiación ni obligaciones.

Principios fundamentales

  • Solo independencia: sin presupuestos ni condiciones.
  • Un enfoque centrado en los resultados, por encima del debate.
  • Nos oponemos a cualquier «cliente especial» o software no verificado.
  • Divulgación selectiva que ayude a las víctimas, no a los autores de las amenazas.
  • Presión directa sobre la infraestructura del atacante.

Recomendaciones prácticas

Para proyectos y equipos

  • Nunca instales programas de visualización, clientes o actualizadores para el lugar de trabajo procedentes de terceros no verificados.
  • Descarga Zoom y [REDACTED] únicamente desde las páginas web oficiales de los proveedores.
  • Evita los enlaces patrocinados sobre monederos, puentes y airdrops.
  • Es preferible utilizar carteras físicas con almacenamiento de la semilla fuera de línea.
  • En caso de vulneración: revoca las sesiones, transfiere los fondos, renueva las claves, vuelve a generar los secretos y solicita ayuda de inmediato.

Para la comunidad

Conclusión

A pesar de que ya se han transferido fondos, THE ENABLERS REGISTRY acceso restablecido y garantizó que el atacante no pudiera quedarse con los activos robados. Al rechazar la recompensa y destinar los fondos sobrantes a otros fines, la organización mantiene su modelo operativo independiente y sin remuneración, centrado en una respuesta rápida y eficaz ante los incidentes.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

Comparte esta investigación

Investigaciones relacionadas

INVESTIGACIÓN EN PROFUNDIDAD
Análisis del possibly phishing de criptomonedas: 8 programas reales para robar frases de semillas, analizados mediante ingeniería inversa
INVESTIGACIÓN
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
INVESTIGACIÓN
Estafadores al descubierto: análisis detallado de cuatro sistemas de gestión de estafas

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings