Site icon Sophos News

Atrayendo con amor: una red de “matanza de cerdos” robó millones de las carteras de las víctimas

La delincuencia basada en criptomonedas ha hecho metástasis en muchas formas. Debido a la facilidad con la que las criptodivisas ignoran las fronteras y permite a las redes delictivas multinacionales obtener y blanquear fondos rápidamente, y debido a la confusión generalizada sobre el funcionamiento de la criptodivisa, una amplia gama de estafas de confianza se ha centrado en convencer a las víctimas para que conviertan sus ahorros personales en criptodivisas, y luego separarlas de ellas.

Entre este tipo de actividades delictivas organizadas, ninguna parece tan omnipresente como la “matanza de cerdos” (del término mandarín, sha zhu pan, acuñado para describir la actividad). La mayoría de estas estafas utilizan aplicaciones de citas u otros medios sociales para atraer a las víctimas a lo que creen que es una relación romántica o platónica en ciernes, y luego introducen un plan fraudulento para ganar dinero juntos. En algunos casos recientes descubrimos que los estafadores utilizaban IA generativa para escribir mensajes a sus objetivos con el fin de hacerlos más convincentes.

Empezamos a investigar las estafas de carnicería de cerdos en 2020 en relación con falsas aplicaciones móviles de comercio de criptomonedas que los usuarios de dispositivos habían descargado por indicación de alguien con quien el usuario se había puesto en contacto la mayoría de las veces a través de una aplicación o sitio web de citas. Bautizamos estas aplicaciones como “CryptoRom“, y hemos seguido investigando las redes de estafa y cómo eluden la seguridad de las plataformas en los dispositivos móviles. Un método que se ha generalizado en el último año consiste en aprovechar los puntos débiles de las aplicaciones legítimas de criptomonedas mediante su capacidad para vincularse a aplicaciones web.

Recientemente, compartí los detalles de un caso de estafa en el que una víctima individual (a la que nos referimos como “Frank”) perdió más de 20.000 USD en un “pool de minería” falso. Basándonos en los detalles que nos proporcionó Frank, pudimos descubrir un conjunto mucho mayor de estafas que utilizaban más de una docena de dominios diferentes. La infraestructura de estos dominios se basaba en cinco “monederos de contratos” controladores diferentes que dirigían criptomonedas de los monederos de las víctimas a otros monederos para blanquearlas. Este conjunto de estafas parece haber interactuado con más de 90 víctimas. Estamos convencidos plenamente en que la estafa fue dirigida por tres conjuntos de afiliados conectados a una organización delictiva multinacional de origen chino.

Si nos remontamos a principios de 2023, descubrimos que estos monederos por contrato habían movido criptomonedas Tether (USDT) por valor de 1,22 millones de dólares desde monederos específicos a destinos que blanqueaban las criptomonedas robadas entre el 1 de enero y el 20 de noviembre. Parecen haber sido gestionadas por tres grupos distintos de actividad amenazadora que utilizan sitios de aplicaciones financieras descentralizadas (“DeFi”) fraudulentas idénticas, lo que sugiere que forman parte de una única red de delincuencia organizada o están afiliados a ella.

La red es potencialmente mucho mayor. Encontramos rastros de otros dos dominios que coincidían con nuestra huella dactilar del sitio y que habían sido desactivados antes de que pudiera recopilar datos de contratos. Examinando los monederos que recibieron los fondos para el blanqueo, encontramos otros monederos de contratos que movían fondos estafados de otras víctimas, algunos apuntando a otros monederos de blanqueo. Seguimos analizando los datos para identificar más operaciones de estafa.

En total, los monederos implicados en la estafa movieron este año casi 2,9 millones de dólares en criptomoneda hasta el 15 de noviembre, procedentes de las estafas que rastreamos y de otras actividades ilegales.

Siguiendo el dinero

Figura 1: el círculo de criptomonedas en la estafa de la minería de liquidez, como demuestra el flujo de “Frank”

Durante nuestra investigación de la estafa dirigida a “Frank”, rastreamos el flujo de criptomonedas de su monedero. La trampa del estafador era una falsa aplicación financiera descentralizada alojada en el dominio allnodes[.]vip, un sitio registrado y alojado por Alibaba.

La aplicación creaba un contrato inteligente (pagado con Ethereum proporcionado por el estafador en el caso de Frank y probablemente en todas las demás estafas llevadas a cabo por ese anillo) que otorgaba a otra dirección de monedero una “asignación” prácticamente ilimitada, permitiendo a su propietario ver el saldo del monedero vinculado y transferir tokens Tether depositados en el monedero vinculado. Esta dirección remota, el monedero del contrato, nunca se transfería criptomoneda a sí misma, sino que transfería saldos a otros monederos bajo el control de los estafadores utilizando la autoridad del contrato inteligente mediante la autorización de transacciones en la cadena de bloques.

igura 2: la falsa aplicación de finanzas descentralizadas utilizada por los estafadores

Observando las transacciones del nodo de control, pude determinar que nuestra víctima no era el primer objetivo de esta configuración de estafa concreta. El nodo de control estuvo activo por primera vez el 5 de abril, realizando lo que pudo ser una transferencia de prueba de Tether por valor de 55 USD para comprobar la configuración de la falsa aplicación DeFi; parece ser que a la primera víctima se le transfirieron fondos al día siguiente y durante las dos semanas siguientes se le hicieron transferencias por un valor total de 15.400 USD en criptomonedas. En total, antes de que el nodo se silenciara a principios de agosto, al menos 7 objetivos fueron desplumados por los estafadores por cantidades que oscilaban entre 2.000 y más de 50.000 dólares, en total 177.560 dólares.

Utilizando las características de esta estafa, fuimos a la caza de otros sitios similares. Y rápidamente quedó claro que estaba relacionado con una operación mucho mayor.

A la caza de más dominios y carteras de contratos

Examinando los datos del registro de dominios, encontramos otro dominio con la misma marca (allnodes[.]xyz) también registrado y alojado a través de Alibaba en una dirección IP diferente. Los sitios eran idénticos en apariencia y en código HTML y JavaScript subyacente. Los sitios compartían no solo la misma apariencia, sino también los mismos nombres de archivos de secuencia de comandos y utilizaban el mismo servicio de chat dentro del sitio basado en JavaScript (tawk[.]to). Sin embargo, la aplicación del dominio. xyz utilizaba un monedero de contratos diferente para la carga útil de su contrato inteligente.

Ampliamos la búsqueda examinando las peticiones web de cada uno de estos sitios y buscando sitios con el mismo JavaScript y los mismos nombres de archivo. Basándonos en esas huellas dactilares, encontramos 11 dominios adicionales que alojaban exactamente el mismo código, algunos de los cuales compartían los mismos monederos de contratos en sus configuraciones.

En total, encontramos cuatro direcciones que actuaban como nodos de control en 14 dominios. También encontramos dos dominios que habían dejado de funcionar, pero que coincidían con todas las características de la telemetría histórica y los datos de terceros. Al examinar los sitios, descubrimos distintas agrupaciones de dominios que utilizaban convenciones de nomenclatura, registradores de dominios y hosts similares, lo que sugiere que distintos subgrupos estaban operando simultáneamente kits de estafa idénticos. Esto es similar a lo que descubrimos al investigar los sitios de intercambio falsos de carnicería porcina, donde docenas de sitios utilizaban el mismo código, pero con diferentes direcciones de monedero asociadas.

Grupo Dominio Monedero de contratos Hosting Registrador Volumen total de transacciones Crypto
(USD)
Allnodes allnodes.vip 0x6B79f38233726282c7F88FE670F871eAbd0c746c Alibaba Singapore Alibaba Cloud 177.596
allnodes.xyx 0xd2b14d2fff430a720cf44bbd064f548a585e73de Alibaba Cloud Alibaba Cloud 174.934
Trust trust-oke[.}com 0xcf6b558c218a9148cd77c04be4e3d1c1fc9d61a2 Amazon Amazon 676.869
trust-btrust-oke[.}com
trust-usdt[.]com
trust-v2[.]com
trust-bnb[.]link
v2-eth[.]com
net-8897[.]com
Ada ada-defi[.]pics 0xeb7b75dd5b4b6ef7bbc6ec079cd329a782fc1efe Cloudflare protected Dynadot 62.660
ada-defi[.]beauty
ada-defi[.]xyz
ada-coin[.]info
eth-defi[.]one
Unknown trust-eth[.]com Google, then Cloudflare Gname.com
eth-mining[.]xyz Google, then Cloudflare Dynadot

Como se muestra en la tabla anterior, dos grupos de dominios tenían direcciones de monedero de contrato compartidas. Y examinando los datos de las transacciones, descubrimos que ambos dominios “allnodes”, a pesar de tener monederos de contratos separados, dirigían criptomonedas a los mismos destinos.

La actividad de los sitios de estafa y sus monederos de contratos, algunos de los cuales parecían estar probando los scripts asociados a los monederos de contratos, se remontaba a febrero. La mayor parte de la actividad de estafa real asociada a los sitios se produjo en los meses de verano, como muestra el volumen de criptomoneda movido a través de cada uno de los principales monederos de contratos:

Figura 3: el volumen de movimiento de criptomonedas a través de los monederos de contratos primarios se disparó en junio y se mantuvo relativamente alto durante los meses de verano

Examinando más a fondo los datos de las transacciones de los monederos que recibían retiradas fraudulentas, descubrí otros monederos de contratos que enviaban criptomonedas siguiendo el mismo patrón. Utilizaban los mismos monederos de destino que dos de los grupos anteriores:

Figura 4: desglose del flujo de criptomoneda de los tres subgrupos de actividades de amenaza
Figura 5: resumen del grupo de actividad “Ada”

El subgrupo “Ada” utilizaba un único monedero para blanquear fondos de sus dos monederos de contratos asociados. Este grupo de sitios estuvo activo a partir de marzo, pero los monederos mostraron signos de actividad de estafa ya en febrero, lo que sugiere que otro dominio formaba parte del grupo.

Figura 6: Grupo de actividad de la amenaza “Trust”

El grupo de amenazas “Trust” es el que parece haber estado activo durante más tiempo. Uno de sus monederos de contratos estuvo muy activo en enero, lo que indica que otro sitio de estafa estuvo activo en 2022. La actividad de ese monedero cayó por completo en marzo, y otros monederos conectados a sitios más nuevos se volvieron más activos. En noviembre, el grupo “Trust” seguía activo, pero mucho menos que durante el pico de los sitios de estafa que identifiqué.

Figura 7: Grupo de actividad de amenazas “Allnodes

El cluster “Allnodes” fue el asociado al caso “Frank”. Empezó más tarde que los demás y cerró la actividad vinculada a la infraestructura que identificamos poco después de que la víctima se pusiera en contacto con nosotros y empezara a alertar a los desarrolladores de monederos y bolsas de su presencia. No se observó más actividad de cobro en los monederos asociados a este grupo de amenazas después de agosto.

A pesar de tener una vida relativamente corta, el grupo Allnodes consiguió ingresar más de 352.000 dólares antes de poner fin a su ciclo de vida, la mayoría de los cuales se cobraron a través de cuentas bancarias de Hong Kong.

Figura 8: fondos retirados por cada uno de los grupos de actividades de amenaza, de enero de 2023 a noviembre de 2023

En total, los grupos que utilizaron el kit de estafa de la minería de liquidez ingresaron más de 2,9 millones de dólares a lo largo del año. Es probable que sigan realizando otras estafas similares con nueva infraestructura. Y hay muchas otras operaciones de estafa que utilizan tácticas, herramientas y prácticas similares, como descubrí investigando las pistas que recibí de otras víctimas de estafas en el transcurso de esta investigación.

Más kits, más estafas

Siguiendo los mismos métodos, buscar dominios que utilizaran nombres DeFi y de criptomonedas o que tomaran prestada la marca de marcas legítimas relacionadas con las criptomonedas, encontramos múltiples estafas adicionales. Una de ellas, que identifiqué, encabezada por el dominio eth-defi[.]xyz, dio lugar a otra dirección de monedero de contrato: 0x2e7e4df940a2c999bf5b5cdcd15a738b8bb462d5.

Entre el 18 de agosto y el 28 de noviembre, esa cartera de contratos había retirado a las víctimas criptomonedas Tether por valor de 115.820 dólares. La mayoría de esos fondos se cobraron a través de Binance.

Figura 9: el falso sitio minero de liquidez eth-defi[.]xyz
Utilizando los artefactos de este sitio, encontramos otros 60 sitios de estafa que utilizaban el mismo kit. Aún no he realizado análisis en esos sitios más allá de confirmar que ejecutan la misma interfaz de estafa.

Mientras investigábamos estas redes, observamos un cambio en las herramientas y tácticas de otras operaciones de estafa, que en parte parece estar impulsado por la respuesta de las bolsas y los desarrolladores de monederos a la hora de compartir datos sobre amenazas, lo que les permite bloquear las estafas a nivel de aplicación. Los desarrolladores de herramientas de estafa están tomando medidas para bloquear la recopilación de datos de nodos contractuales, controlando qué monederos podrían utilizarse para la estafa, y teniendo más cuidado para eludir la geolocalización y el análisis. Estos despliegues de estafa más cautelosos abarcaron cientos de dominios.

Un ejemplo de esta variación en las herramientas de los sitios de estafa, relacionado con una estafa alojada en phpsqo[.]top, procedía de una víctima. La víctima, una estudiante de Polonia, fue contactada a través de WhatsApp por alguien que decía ser una mujer china que vivía en Alemania. La interacción llevó a la víctima a conectar su monedero móvil a un monedero de contrato a través de ese dominio: 0x63809823AD21B6314624621172bAf4532c5B8b72

El objetivo introdujo USDT por valor de 1.177,79 USD en el monedero y realizó depósitos diarios hasta que retiró todo el saldo una semana después.

Esta cartera de contratos fue extremadamente activa, con más de 950 transacciones entre el 26 de marzo y el 15 de noviembre, por lo que el análisis manual del número total de víctimas y criptomonedas transferidas aún está en curso. Pero a partir de un muestreo aleatorio de las transacciones, estimo que la cartera de contratos transfirió criptomonedas por valor de al menos 200.000 USD durante ese periodo.

Obtener esos datos habría sido difícil sin que la víctima facilitara la dirección de su monedero, ya que el sitio utiliza JavaScript para detectar el agente web que se conecta y deshabilita los navegadores de escritorio, además de comprobar las conexiones del monedero de criptomoneda:

Figura 10: una captura de pantalla de phpsqo[.]top que muestra cómo aparece en un navegador de escritorio
Buscando en los elementos utilizados por el sitio, encontramos 350 sitios que utilizaban exactamente el mismo kit, la mayoría registrados en el dominio de nivel superior “.top”, y todos con alojamiento oculto a través de Cloudflare. Sin la posibilidad de recopilar pasivamente datos sobre los monederos de contratos asociados a estos sitios sin utilizar el tipo de cliente de monedero permitido por los sitios, no fue posible hacerse una idea del alcance de las estafas conectadas a ellos.

También identificamos a través de la búsqueda de DNS otro conjunto de unos 100 sitios que utilizaban otro kit de estafa minera. Éste permite que alguien se conecte al sitio con un monedero basado en navegador, pero comprueba el saldo del monedero antes de permitir la conexión al monedero del contrato. Otros utilizan una API de WalletConnect para ocultar la dirección del monedero contractual y mantener alejados a los visitantes que no dispongan de un conjunto específico de monederos móviles compatibles con ese servicio.

Figura 11: USDmining[.]shop, otro sitio de estafa de minería de liquidez, exige tener saldo en un monedero conectado antes de poder acceder al contrato

Advertencia al inversor

Si se comparan con las investigaciones del año pasado, está claro que las operaciones de estafa de minería de liquidez han madurado en sus técnicas, herramientas y prácticas, y que los “kits” de aplicaciones financieras descentralizadas de estafa han hecho que estas operaciones sean más sencillas de escalar, a la vez que más accesibles para los ciberdelincuentes menos capacitados técnicamente. Las tácticas cambiantes de los kits más recientes sugieren que los desarrolladores de herramientas están realizando importantes esfuerzos técnicos al servicio de las operaciones del crimen organizado chino que respaldan estas redes de estafa.

Dado que estas estafas utilizan aplicaciones legítimas que han sido habilitadas para conectarse a aplicaciones financieras descentralizadas, la mejor defensa contra estas estafas en constante maduración sigue siendo el conocimiento público de las estafas y un sano escepticismo hacia las interacciones en línea. Dado que las víctimas de estafas del estilo de la “matanza del cerdo” como estas suelen estar aisladas y se dirigen a ellas mediante apelaciones emocionales, una amplia divulgación pública es el único modo de evitar o reducir las pérdidas.

Seguimos haciendo lo que podemos denunciando sitios, bloqueándolos mediante puntuaciones negativas de reputación y colaborando con los proveedores de alojamiento, las fuerzas de seguridad y los mercados de criptomonedas para conseguir que se cierren los sitios y las cuentas vinculadas a ellos.

Si crees que eres víctima de una de estas estafas, debes:

En nuestro GitHub encontrarás una lista de los dominios activos más recientes que se han descubierto asociados a estas estafas y otros indicadores de las operaciones de estafa investigadas aquí. Se añadirán más dominios a medida que los procesemos.

Exit mobile version