Los anuncios de Google y Twitter están promocionando sitios con un descargador de criptomonedas llamado ‘MS Drainer’ que ya ha robado 59 millones de dólares de 63.210 víctimas en los últimos nueve meses.
Según los expertos en amenazas blockchain de ScamSniffer, encontraron más de 10,000 sitios web utilizando el drenaje desde marzo de 2023 hasta hoy, con picos de actividad observados en mayo, junio y noviembre.
Drain es una conspiración maliciosa o, en este caso, un completo grupo de fraude diseñado para retirar dinero de la billetera de criptomonedas de un usuario sin su consentimiento.
Los usuarios son llevados a una página de phishing legítima y engañados para que acepten contratos maliciosos, lo que permite al descargador realizar acciones ilegales y transferir los fondos de la víctima a la dirección de billetera del atacante.
El código de MS Drainer es vendido a los ciberdelincuentes por 1.500 dólares por el usuario ‘Pakulichev’ o ‘PhishLab’, quien a su vez paga el 20% de los fondos robados. Además, PhishLab vende módulos complementarios que añaden nuevas características al malware, que cuestan entre 500 y 1.000 dólares.
Según los datos de blockchain del proyecto MS Drainer, una de las víctimas de la cadena Ethereum perdió 24 millones de dólares en criptomonedas, mientras que otras víctimas conocidas perdieron entre 440.000 y 1,2 millones de dólares.
Anuncios fraudulentos en Google y X
En la Búsqueda de Google, MS Drainer se promociona a través de anuncios negativos mostrados por palabras clave relacionadas con plataformas DeFi como Zapper, Lido, Stargate, Defillama, Orbiter Finance y Radiant.
Muchos de estos anuncios utilizan el sistema de seguimiento de Google Ads para que el enlace parezca pertenecer a un proyecto falsificado. Otro control, basado en quién hace clic en el sitio web fraudulento.
En X, más conocido como Twitter, los anuncios de MS Drainer son tan abundantes que ScamSniffer dice que cuentan nueve de nueve anuncios en su feed.
En particular, la mayoría de los anuncios fraudulentos en X se envían desde cuentas legítimas “verificadas” que tienen una insignia azul donde se muestra el anuncio.
Un investigador de seguridad MalwareHunterEquipoque ha sido seguir lo mismo ventasLe dijeron a BleepingComputer que creen que los titulares de cuentas de Twitter pueden estar infectados con malware que roba cookies o contraseñas, lo que permite a los atacantes crear anuncios a partir de cuentas comprometidas.
Sorprendentemente, el investigador se puso en contacto con la cuenta publicitaria fraudulenta de criptomonedas de X y le dijeron que no había anuncios en su cuenta publicitaria.
En X, los ciberdelincuentes utilizaron varios titulares en sus anuncios, incluido uno llamado “Ordinals Bubbles”, que promocionaba un grupo de NFT (tokens no fungibles) que consta de varios personajes cubiertos de burbujas.
Los anuncios también promocionaban lanzamientos aéreos de NFT y nuevos tokens en sitios agotadores.
ScamSniffer dice que uno de los métodos de detección más comunes utilizados por estos anuncios es el geofencing, que solo se dirige a usuarios de áreas predefinidas y dirige al resto a sitios legítimos/inocuos.
Las estafas con criptomonedas han tenido buenos resultados en X, pero con cuentas confiables y pirateadas que muestran anuncios de sitios web maliciosos, deberíamos esperar que este tipo de ataques se vuelvan aún más exitosos.
Los usuarios deben tener mucho cuidado cuando vean productos relacionados con criptomonedas y hacer las debidas diligencias antes de registrarse en nuevas plataformas, sin mencionar la conexión de sus billeteras.