Informe 2025 sobre la criptodelincuencia: Vea las tendencias clave que dieron forma al mercado ilícito de criptomonedas durante el año pasado. Leer el informe

Soluciones
Aprenda
Empresa
Solicitar una demostración
en
Buscar en
Buscar en
Investigaciones TRM
4 de noviembre de 2021

DeFi , objetivo de una aplicación de escritorio maliciosa

TRM InsightsInvestigaciones TRM
DeFi , objetivo de una aplicación de escritorio maliciosa

Nota del editor: @qtmosesespecialista externo que asesora sobre investigaciones criptográficas, ha contribuido a este informe.

¿Qué ha pasado?

De forma continua, TRM Labs rastrea a los actores de amenazas implicados en phishing, exploits de contratos y abuso de criptomonedas con fines financieros. Recientemente, una campaña de malware activa dirigida a las finanzas descentralizadasDeFi) a través de una aplicación de escritorio maliciosa atacó a los usuarios de Mango Markets.

Mango Markets es una organización autónoma descentralizada que ofrece Margen Spot, Futuros Perpetuos y Préstamos a través de mango[.]markets.

El 6 de octubre de 2021, se enviaron mensajes directos a los miembros del grupo oficial de Discord de Mango en los que se les instaba a navegar hasta https://mangomarkets[net, afirmando que se había lanzado una aplicación de escritorio de Mango. Los miembros de Mango que recibieron este mensaje directo probablemente no tenían configurada la privacidad de Discord para evitar los mensajes directos de los miembros del servidor.

Esto podría sonar como el comienzo de una historia familiar para los usuarios de criptomonedas acostumbrados a leer sobre estafas de phishing asociadas con caídas de NFT o estafas de sitios web de aplicaciones DeFi , pero afortunadamente, el equipo de Mango actuó rápidamente y notificó a sus seguidores de Twitter que la aplicación de escritorio de Mango era una estafa. Como resultado, parece que se evitaron daños mayores, ya que hasta la fecha nadie afirma haber sido víctima de la estafa de la aplicación de escritorio.

Figura: Captura de pantalla de las comunicaciones enviadas por el estafador haciéndose pasar por funcionario de Mango

Aun así, hay mucho que aprender de este caso:

1. @qtmoses expone aquí las mejores prácticas para proteger tu cuenta de Discord y luchar contra los spammers.

2. Desempaquetar el malware de la aplicación de escritorio - lo que hacemos a continuación - esperamos que mantenga a los usuarios de criptomonedas conscientes de los riesgos y señales de alerta para este tipo de estafa en el futuro.

Anatomía de una falsa aplicación de escritorio

En este caso, la aplicación fraudulenta de escritorio es un programa malicioso identificado como troyano de acceso remoto (RAT). Las RAT permiten a los hackers robar información de los ordenadores de las víctimas. En el caso de la falsa aplicación de escritorio Mango, el RAT podría conducir al robo de información sensible asociada a cuentas de criptomoneda de cualquiera que haya descargado la aplicación falsa.

Cuando las víctimas potenciales visitan el sitio falso de Mango, se dan cuenta inmediatamente de que algo es diferente. En lugar de encontrar el habitual botón "Comercio", el usuario encuentra un botón "Descargar aplicación" en la parte derecha del sitio web. El sitio web falso de Mango afirma que se ha lanzado una nueva versión de la aplicación que es "rapidísima, casi sin comisiones y sin permisos". Todo lo demás relacionado con el sitio web falso de Mango es un calco del sitio web original de Mango.

Hasta la fecha, Mango sólo ha lanzado su aplicación web, y las aplicaciones de escritorio creadas por la comunidad aún no se han puesto en marcha. Dada la naturaleza repentina de este cambio no anunciado previamente, la mayoría de los usuarios tuvieron cuidado de informar de ello inmediatamente y el canal de informes en Discord pronto se convirtió en un cementerio con cuentas de spam baneadas.

Figura: Captura de pantalla de la falsa web de Mango anunciando el lanzamiento de la App

Análisis de malware

Los valientes que descargaron la falsa aplicación Mango se encontraron con un ejecutable de 118 MB. El tamaño de la descarga podría haber jugado a favor de los estafadores, ya que parece razonable para el tamaño de las aplicaciones actuales. Sin embargo, lo que podrían haber pasado por alto es que es poco probable que la base de usuarios DeFi se incline hacia el sistema operativo Windows como el mercado mundial de sistemas operativos.

Figura: La captura de pantalla anterior es una visual de la aplicación falsa Mango archivo descargado.

En ese momento se podía deducir que se trataba de un ejecutable malicioso y, para disipar cualquier duda, una prueba rápida con VirusTotal arrojó que 11 (14 en el momento de escribir esto) de 66 productos marcaban este ejecutable como malicioso.

Al ejecutar la falsa aplicación de escritorio de Mango, era de esperar que, o bien una interfaz de usuario legítima de Mango con una cartera maliciosa estuviera robando código, o bien un troyano cualquiera. Entonces vimos que la actividad se disparaba y Wireshark se llenaba de paquetes.

Al ejecutar el Administrador de Recursos de Windows, había un nuevo proceso en el espacio de usuario llamado "hdscanner.exe" con una conexión de red activa. Al inspeccionar el archivo, algunos de los metadatos coincidían con los del archivo inicial, que ahora era obvio que era sólo un instalador/desinstalador.

Figura: Captura de pantalla de Wireshark y Windows Resource Manager

El siguiente paso fue filtrar los paquetes en Wireshark a los del proceso sospechoso. Al principio, se podía ver que la aplicación maliciosa establecía una conexión de seguridad de la capa de transporte (TLS) y todo lo que venía después estaba cifrado. En lo que potencialmente fue un día de suerte para analizar el archivo malicioso antes de que se estableciera una conexión, el servidor envió lo que parecía un apretón de manos y se identificó en texto plano como el centro de mando y control de BitRAT.

Figura: Captura de pantalla de BitRAT

El malware BitRAT puede adquirirse en varios foros de ciberdelincuentes o directamente en la página de redes sociales del supuesto creador. Una vez que el malware BitRAT se instala en la máquina de un usuario, puede funcionar como un keylogger que roba contraseñas mientras accede remotamente a su máquina.

Si ha descargado el archivo malicioso, es fundamental que tome medidas para eliminar la aplicación de su equipo y proteger sus cuentas de criptomonedas inmediatamente.

TRM Labs sigue vigilando las amenazas dirigidas a la industria de la criptomoneda y proporcionará actualizaciones a medida que estén disponibles.

Acerca de TRM Labs

TRM proporciona Inteligencia en Blockchain para ayudar a las instituciones financieras, las empresas de criptomoneda y los organismos públicos a detectar, investigar y gestionar el riesgo de fraude y delitos financieros relacionados con las criptomonedas. La plataforma de gestión de riesgos de TRM incluye soluciones para la monitorización de transacciones y detección de carteras, diligencia debida VASP y herramientas de investigación para rastrear el flujo de fondos. TRM es la única herramienta con análisis de cadenas cruzadas, proporcionando cobertura a través de 23 cadenas de bloques y más de 900.000 activos.

TRM tiene su sede en San Francisco, California, y está contratando personal en ingeniería, productos, ventas, investigación y ciencia de datos. Para obtener más información, visite www.trmlabs.com. Para informar de una pista a Global Investigations, envíenos un correo electrónico a investigations@trmlabs.com.

Esto es un texto dentro de un bloque div.
Suscríbase y manténgase al día de nuestras novedades
flecha derecha
18 de febrero de 2021

Cuidado con lo que descargas: Cómo evitar un ciberataque de Corea del Norte

flecha derecha
28 de octubre de 2021

GAFI Orientaciones finales

flecha derecha
31 de agosto de 2021

Hurts the SOL: Consideraciones de seguridad para las caídas NFT

Acceda a nuestra cobertura de TRON, Solana y otras 23 blockchains

Rellene el formulario para hablar con nuestro equipo sobre los servicios profesionales de investigación.

Servicios de interés
Seleccione
Transaction Monitoring/Wallet Screening
Servicios de formación
Servicios de formación
 
Al hacer clic en el botón siguiente, acepta la política de privacidad deTRM Labs .
Muchas gracias. Hemos recibido su envío.
¡Uy! Algo ha ido mal al enviar el formulario.
No se han encontrado artículos.
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
Informe 2025 sobre la criptodelincuencia: Explore cómo evolucionó el panorama de la criptodelincuencia en el último año
DIG IN NOW →
Cables de fibra óptica azul brillante sobre fondo azul oscuro, con destellos de chispas blancas intercaladas.
INFORME
A medida que la tecnología de IA se vuelve más sofisticada, también lo hacen las formas en que los delincuentes la utilizan. Vea lo que hace TRM para combatir la delincuencia basada en IA.
LUCHA AI CON AI →
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
El panorama de la criptodelincuencia experimentó cambios significativos en 2024, incluyendo descensos en los volúmenes ilícitos. Profundiza en los datos aquí.
VISTA PREVIA DEL INFORME SOBRE DELITOS CRIPTOGRÁFICOS →
Tablero de corcho con fotografías de Heather "Razzlekhan" Morgan e Ilya Lichtenstein, con sus nombres escritos a mano debajo de sus fotos y chinchetas en el tablero conectadas por una cuerda roja.
DOCUMENTAL
Transmite “El atraco más grande de la historia” y mira detrás de escena al equipo de TRM
ÉCHALE UN VISTAZO →
Un círculo bidimensional azul claro (que representa una moneda estable) flotando sobre líneas curvas de color azul oscuro y blanco (que representan ondas), con finas líneas punteadas de color azul y blanco en lo alto para representar el viento.
INFORME
Explore las tendencias macro y los desarrollos jurisdiccionales que dieron forma al panorama de políticas criptográficas globales en 2024
LEA EL INFORME →
Ilustración sobre un fondo azul oscuro que muestra un insecto y un signo de exclamación (que representa una actividad ilícita), un globo terráqueo con puntas de alfiler, una moneda y un gráfico de barras.
INFORME
Vea los países con las tasas más altas de adopción de criptomonedas y las tasas más altas de exposición a actividades ilícitas
LEA EL INFORME AHORA →
Un rectángulo azul con formas geométricas en el fondo y puntos conectados por líneas finas en primer plano, que representan conexiones en la cadena de bloques.
LIBRO BLANCO
Explore cuatro formas en que la TRM mejora el cumplimiento en la era moderna de aplicación de sanciones
Descargar el libro blanco →
Ilustración de un gráfico de pig butchering con varios logotipos de criptomonedas en cada sección, con una insignia de sheriff azul brillante en la parte superior, que simboliza el papel de las fuerzas del orden en la lucha contra el fraude.
CASO EJEMPLO
Vea cómo la ayudante del fiscal Erin West y el grupo de trabajo REACT están luchando contra la delincuencia organizada. pig butchering
VER EL VÍDEO →
Ilustración de un ojo, una calavera con huesos cruzados y un gráfico circular sobre fondo azul claro, que simboliza los peligros de las criptoestafas y el fraude financiero.
INFORME
Explora las tendencias clave que dieron forma a la criptoeconomía ilícita en 2023
OBTENER EL INFORME →
Primer plano del edificio del Capitolio de los Estados Unidos con nieve cayendo
BLOG
Sepa por qué la criptomoneda se ha convertido en un tema central de las elecciones estadounidenses de 2024
LEER EL POSTE
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Profundice en el ecosistema de criptomonedas ilícitas de habla rusa
LEER EL INFORME COMPLETO
Contorno de cerdo con el escudo de las fuerzas del orden superpuesto
Caso práctico
Más información sobre la actuación del Grupo Operativo REACT pig butchering
Leer el Caso práctico
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Explore las tendencias recientes de ransomware en el ecosistema criptográfico de habla rusa, incluido el papel de los grupos ransomware en la ciberdelincuencia en todo el mundo.
OBTENGA EL INFORME
Persona escribiendo en un teclado de ordenador portátil con superposición azul oscuro filtrado
ENTRADA EN EL BLOG
Conozca la oleada de ataques a ransomware del verano de 2024 y la proliferación de RaaS en todo el mundo.
LEER EL POSTE
INFORME
Conozca el papel de las criptomonedas en el mercado internacional de precursores de drogas sintéticas
OBTENGA EL INFORME