¡Tomen sus palomitas de maíz y sus sombreros de detective, amigos! Hoy nos sumergimos en la apasionante historia de un proyecto de búsqueda de amenazas que abordamos. No podemos contar todos los detalles por razones de privacidad, pero prometemos que esta es una historia como una montaña rusa.
La estafa de phishing
Nuestra historia comienza con un mensaje simple que promete a los usuarios de las redes sociales una vía rápida hacia el club de los criptomillonarios. Después de ser bombardeado con videos de TikTok de criptomillonarios haciendo alarde de sus llamativos Lamborghinis mientras predicaban lo fácil que era hacerse rico rápidamente, el usuario no pudo evitar pensar: "¡Ahora es mi turno!"
Después de hacer clic en el sitio web e iniciar sesión con entusiasmo, de repente aparecen casi 1.5 millones de dólares en la pantalla. El usuario se siente abrumado ante la perspectiva de finalmente poder dejar su trabajo y retirarse a una playa de arena en algún lugar y, sin pensarlo dos veces, hace clic en el botón "retirarse".
¡Pero no sin necesidad de aprobar la transferencia primero!
Después de firmar la transacción con su billetera para aprobar el intercambio, no hubo señales de que la billetera del usuario estuviera comprometida. ¡Parecía que el usuario realmente acababa de hacerse rico! Todo parecía estar bien y el contrato se había ejecutado sin problemas... Por lo tanto, no había ningún riesgo involucrado. ¿Bien?
No exactamente…
Desafortunadamente para este usuario, estos atacantes son astutos. Diseñan una UI/UX desprevenida que parece completamente segura. Detrás de esta inocente fachada, están drenando silenciosamente todo el USDT que la víctima había estado guardando con la esperanza de invertirlo en la próxima Altcoin 10,000X.
¿Pero cómo orquestan exactamente esta operación furtiva? Continúa leyendo para averiguarlo.
La misión de Sayfer
En esta búsqueda inútil de un proyecto de investigación, teníamos la misión de tomar medidas enérgicas contra la escala de esta operación, rastrear todos sus dominios y direcciones conocidos y desenmascarar a los culpables detrás de todo. Durante varios meses, resolvimos la mayoría de nuestras preguntas iniciales, ¡además de un montón de cosquillas cerebrales sorpresa que ni siquiera habíamos pensado en preguntar al principio!
Vamos a bucear en ...
Cómo empezó:
Concluimos que la mejor estrategia era atacar en todos los frentes, pero antes de continuar, necesitábamos recopilar más información. Para adquirir la información necesaria, comenzamos explorando todas las pistas disponibles que teníamos.
- La cuenta maliciosa de Twitter
- El sitio web malicioso
- El contrato inteligente malicioso
Que encontramos:
Bots Bots Bots
Inicialmente sospechamos que la cuenta era un bot. Tras una mayor investigación, pudimos confirmar que nuestros instintos habían sido correctos. El bot tenía una pequeña cantidad de seguidores y solo seguía unas pocas cuentas. Había publicado algunos tweets promocionando estafas y utilizando fotografías genéricas y texto generado por IA. Para darnos algunas pistas y ayudarnos a encontrar páginas similares, analizamos de cerca la página de Twitter en busca de características únicas. Comenzamos buscando emojis específicos en la descripción, lo que generó muchos resultados irrelevantes. Justo cuando pensábamos que estábamos llegando a un callejón sin salida, ¡logramos nuestro gran avance! Un espacio de ancho cero (ZWS) entre dos emojis resultó ser un elemento crucial en nuestro proceso de toma de huellas dactilares.
🚀🪙
Ahora, para el ojo humano, no hay nada fuera de lo común aquí... Sin embargo, tras una inspección más cercana, hay un personaje adicional invisible entre ellos. Este minucioso detalle fue fundamental para nuestra investigación.
Nuestra hipótesis es que esto podría ser un error en el script del robot. Tras este descubrimiento, identificamos más de 300 bots que comparten el mismo carácter peculiar, cada uno de los cuales promueve una variedad de estafas criptográficas y enlaza a sus sitios web. Con esta lista en la mano, pasamos al siguiente frente.
Sitios web malos
Tras nuestro exitoso descubrimiento de bots, el siguiente paso fue investigar estos sitios web fraudulentos. Esto implicó un reconocimiento integral que abarcó el análisis de los subdominios y carpetas del servidor, la recopilación de información de fuentes abiertas (OSINT), la toma de huellas digitales del servidor, el uso de términos de búsqueda específicos (idiotas), el descubrimiento de ID de Google Analytics, verificaciones de transparencia de certificados y más. Durante este proceso, descubrimos un back-end personalizado para el sitio web, que no estaba vinculado al sitio oficial.
Seguimos las rutas de navegación y, con la ayuda de uno de nuestros expertos de Google, descubrimos que esta interfaz de administración se había mencionado en una publicación de Pastebin unos meses antes. Esta publicación contenía una lista de cientos de sitios web similares que usaban el mismo back-end.
Afortunadamente, uno de estos sitios había subido sus mapas fuente. Esto nos dio acceso al código completo del front-end, incluidos los comentarios. ¡A partir de esto, descubrimos el nombre real de la plataforma de estafa! Más tarde, descubrimos que el código se estaba vendiendo como un marco de estafa criptográfica en Darknet.
Gracias a nuestro análisis exhaustivo, identificamos al grupo de ciberdelincuentes con sede en Asia responsable de la estafa y compartimos esta información con las autoridades para llevarlos ante la justicia.
Si bien identificar al perpetrador fue una gran hazaña, aún necesitábamos comprender sus métodos. Esto nos llevó a la siguiente vía de investigación: el contrato inteligente.
Contrato inteligente complicado
Durante nuestra investigación sobre sus contratos inteligentes, una revisión de las transacciones maliciosas reveló que el contrato pedía engañosamente al usuario que "aprobase todo", dándole permiso al contrato inteligente para retirar todos los fondos de la billetera del usuario. No nos sorprendió que este tipo de estafa prevalezca debido a la naturaleza de alto riesgo de Dapps (puede leer más sobre esto en un gran pieza de nuestros colegas de Zengo).
Pero necesitábamos profundizar aún más para comprender cómo se hacía esto, por lo que decidimos aplicar ingeniería inversa al contrato. Nuestro análisis descubrió un código de operación extraño que se activaba cuando el usuario intentaba retirar fondos. El contrato verificó la variable global block.basefee, representada por el código de operación EVM 0x48 en EIP-3198. Si estas variables fueran iguales a 0, todos los fondos del contrato se transferirían a la víctima, exactamente lo contrario de una estafa.
(Estén atentos a nuestro próximo tutorial sobre cómo realizar ingeniería inversa en contratos usando ChatGPT).
Continuamos investigando y descubrimos que muchas herramientas de simulación de transacciones permiten a los usuarios obtener una vista previa del resultado de una transacción sin ejecutarla realmente. Estas herramientas son principalmente envoltorios para la implementación del nodo Ethereum de trace_call/debug_traceCall.
El atacante descifró con éxito la implementación de trace_call y creó un código que se comporta de manera diferente en una simulación en comparación con la vida real, asegurando que no sospechen los usuarios. Esto significa que en un entorno simulado, parece como si la víctima recibiera fondos, cuando en realidad no se produce ninguna transacción.
Este tipo de malware rara vez se encuentra en la naturaleza. Hasta donde sabemos, esto representa el primer caso de malware anti-VM basado en EVM.
Conclusión
En conclusión, este proyecto de búsqueda de amenazas subraya la importancia de una investigación integral y multifacética para detectar y comprender las estafas criptográficas. Se utilizaron una gran variedad de técnicas, que van desde la toma de huellas dactilares de bots y el reconocimiento de sitios web hasta el análisis de contratos inteligentes. Estas técnicas demostraron cómo un análisis en profundidad puede revelar la verdadera naturaleza de una operación, proporcionar información sobre sus motivaciones e incluso identificar a los perpetradores.
Además, este estudio de caso enfatiza la necesidad de vigilancia y precaución en las transacciones en línea, particularmente en criptomonedas. En este caso, los atacantes crearon con éxito una UI/UX convincente, enfatizando la necesidad de informar a los usuarios sobre las estafas de phishing y la importancia de verificar la autenticidad de los sitios web y las transacciones. Hacerlo puede reducir el riesgo de robo de fondos y fomentar un entorno en línea más seguro.
El fin
trituradora anna
Anna es investigadora de seguridad en Sayfer. Le apasiona comprender e investigar los vectores de ataque y defensa que aparecen en las nuevas tecnologías emergentes.
¿Quieres escuchar más?
Una reunión de consultoría gratuita incluida.
