Ofensiva Global Contra el Malware
Una ofensiva global contra el malware conocido como «cibercrimen como servicio», que drena silenciosamente las billeteras de criptomonedas, ha resultado en la congelación de decenas de millones de dólares en fondos robados. Las fuerzas del orden han identificado, marcado y congelado más de 41 millones de euros (alrededor de 47 millones de dólares) en activos criptográficos criminales en la última fase de la Operación Endgame, según informó Europol el miércoles.
Desmantelamiento de Infraestructura Maliciosa
La operación, que duró dos semanas y abarcó varios países, desmanteló la infraestructura detrás de tres familias de malware: SocGholish, Amadey y StealC, todas ellas dirigidas a usuarios de criptomonedas. StealC, un infostealer vendido como servicio desde 2023, extrae contraseñas, cookies del navegador y datos de billeteras de criptomonedas de máquinas infectadas. Su panel de control incluso incluía un complemento que intentaba descifrar las frases semilla de las billeteras MetaMask de las víctimas, según hallazgos de investigadores de Proofpoint.
Amadey proporciona el acceso inicial y despliega más malware, mientras que SocGholish, vinculado al grupo ruso Evil Corp, infecta a las personas a través de falsos avisos de actualización del navegador en sitios web hackeados. Juntos, estos malware forman la primera línea de ataques que resultan en el drenaje de billeteras, toma de cuentas y ransomware.
Resultados de la Operación
La policía desmanteló 326 servidores y 142 dominios, recuperó casi 27 millones de credenciales robadas de más de 385,000 sistemas comprometidos y limpió casi 15,000 sitios web infectados, muchos de ellos pertenecientes a pequeñas empresas. Microsoft, un socio en la operación, vinculó a Amadey y StealC con más de 140,000 computadoras infectadas en todo el mundo solo en las primeras dos semanas de mayo.
El Auge de los Infostealers
Los infostealers se han convertido en una de las principales vías para el robo de criptomonedas, extrayendo silenciosamente archivos de billetera, claves privadas y frases semilla de los dispositivos de las víctimas. Utilizan una variedad de vectores para atacar a los usuarios de criptomonedas, incluidos falsos programas de inteligencia artificial, fondos de pantalla de Steam y mods de juegos pirateados. La escala de exposición es vasta.
Acciones Legales y Futuras Iniciativas
Una acción anterior de la Operación Endgame, realizada a finales del año pasado, descubrió datos de inicio de sesión para más de 100,000 billeteras de criptomonedas, que habían sido robados de las víctimas pero aún no habían sido vaciados. La Unidad de Crímenes Digitales de Microsoft presentó por separado una demanda por extorsión en EE. UU., que, por primera vez, trató a dos familias de malware como una sola conspiración criminal.
Utilizando herramientas de inteligencia artificial, incluido Copilot, para analizar el malware, los investigadores encontraron que Amadey y StealC, aunque desarrollados por diferentes criminales, operaban en una infraestructura compartida. Esto permitió a Microsoft acusar a los habilitadores de ambas operaciones bajo la Ley RICO y desmantelar más de 200 servidores de comando y control. Desde entonces, ha identificado más de 18,000 computadoras víctimas y ha comenzado a cortar el control de los atacantes.
Desafíos Persistentes
Sin embargo, tales desmantelamientos rara vez eliminan el malware por completo, y los operadores tienden a reagruparse, con StealC enviando una nueva versión tan recientemente como este mes. Por ahora, Europol y sus socios están dirigiendo alertas a las víctimas a través de servicios como Have I Been Pwned, para que los usuarios puedan verificar si sus credenciales y las claves de sus billeteras ya están en manos criminales.
