Nueva ola de cripto-drenadores: cómo los hackers vacían las billeteras de los rusos
El mercado de activos digitales se enfrenta nuevamente a una amenaza masiva. Grupos fraudulentos han intensificado sus ataques contra usuarios rusos, utilizando software malicioso conocido como "drenadores". Según mis datos, al menos tres grupos de hackers han lanzado campañas destinadas a vaciar billeteras de criptomonedas, disfrazando sus esquemas como programas de afiliados legítimos para inversores.
Mecánica del ataque: de la bonificación al robo
A finales de mayo y principios de junio, los atacantes lanzaron al menos 15 sitios web señuelo integrados con criptodrenadores ocultos. Estos programas están diseñados para retirar fondos de forma instantánea. Los usuarios son atraídos con la promesa de abrir una cuenta de inversión y recibir una bonificación de bienvenida de $50 en USDT. Para activar la "generosa oferta", se le pide a la víctima que conecte su billetera escaneando un código QR a través de la aplicación oficial.
En realidad, al aprobar la integración, el usuario firma voluntariamente una transacción que otorga a los hackers acceso completo para retirar criptomonedas, tokens y NFT. Una vez que la autorización en el sitio falso está completa, el drenador verifica el saldo con varias solicitudes y retira instantáneamente todos los fondos disponibles. Este es un esquema clásico, pero no por ello menos peligroso.
Analistas de la unidad especializada F6 Digital Risk Protection ya han enviado una solicitud oficial para bloquear los recursos maliciosos identificados. Sin embargo, como muestra la práctica, los estafadores crean rápidamente nuevas direcciones para reemplazar los dominios cerrados. Según María Sinitsyna, analista senior del departamento de Digital Risk Protection, los drenadores no se utilizan por primera vez: hace varios años, este software se distribuía activamente entre usuarios de habla inglesa, después de lo cual su actividad disminuyó. Ahora se registra una nueva ola, dirigida al público de habla rusa.
Principales tipos de señuelos
He identificado tres escenarios clave que utilizan los atacantes:
- Cuentas de inversión: promesa de una bonificación por registrarse.
- Actividad en Telegram: oferta de compra ventajosa de estrellas.
- Programas de bonificación: distribución de tokens gratuitos por conectar la billetera.
Cómo proteger tus activos
Los inversores deben mostrar la máxima vigilancia. Recomiendo encarecidamente evitar por completo hacer clic en enlaces sospechosos de anuncios publicitarios. Verifique cuidadosamente el nombre de dominio del recurso: los estafadores a menudo registran direcciones que suenan similares a marcas conocidas. Compruebe la fecha de creación del sitio a través de servicios Whois.
Además, recuerde: la actividad de corretaje en la Federación Rusa solo se realiza con una licencia del Banco de Rusia. Siempre verifique la licencia y los recursos oficiales en línea del corredor en el sitio web del Banco Central. Compare cualquier promoción exclusivamente en plataformas oficiales. Si un sitio genera dudas, envíelo a la plataforma "Antiphishing"; los especialistas de F6 verificarán la información y la transmitirán a los reguladores para su bloqueo.
Comentario del experto: La ola actual de drenadores es un claro ejemplo de cómo los ciberdelincuentes adaptan esquemas antiguos a nuevas audiencias. El mercado de criptomonedas ruso, a pesar de la incertidumbre regulatoria, sigue siendo un objetivo atractivo para los hackers. La única forma confiable de protección es el almacenamiento en frío de activos y la negativa total a conectar billeteras a interfaces web no verificadas. No crea en bonificaciones gratuitas; no existen.