Una sofisticada campaña de phishing dirigida a usuarios de criptomonedas a través de Discord. La campaña ha costado a más de 30,000 usuarios, lo que resulta en más de $ 9 millones de pérdidas solo en los últimos seis meses, revelando la operación continua de la infame máquina de drenaje de infierno.
Los investigadores de Checkpoint han descubierto que los atacantes combinan la ingeniería social con las capacidades de la plataforma de Discord para crear estafas altamente persuasivas.
En enero de 2025, los investigadores descubrieron que los miembros prominentes de la comunidad de criptomonedas fueron atacados al intentar acceder al servidor de soporte de discordias desde sitios web legítimos de Web3.
En lugar de llegar a un canal de soporte real, los usuarios fueron redirigidos a un servidor que contenía colabs falsos. Collab.land es un servicio legítimo ampliamente utilizado por la comunidad criptográfica, validando las tenencias de la billetera y que permite el acceso a canales exclusivos.
Colaboración falsa.
“Todo el escenario fue persuasivo y podía engañar incluso a los usuarios experimentados”, dijo el investigador en el informe.
El proceso de verificación falso lleva a las víctimas a sitios web de phishing. Después de conectar la billetera, se le pide al usuario que firme una transacción que parece legal, pero en realidad permite al atacante emitir activos criptográficos.
Técnicas de evasión sofisticadas
Lo que hace que este ataque sea particularmente peligroso es su conexión con Inferno Drainer, uno de los desagües de criptomonedas más sofisticados en funcionamiento. A pesar de anunciar el cierre que se lanzó en noviembre de 2023, el servicio continuó funcionando con una funcionalidad mejorada.
Los atacantes emplean varias tecnologías avanzadas para evitar la detección.
Se utilizan para evitar advertencias de seguridad de la billetera y contratos inteligentes de corta duración son infraestructura de comunicación basada en el poder que tiene una configuración cifrada almacenada con blockchains que ocultan direcciones del servidor de comandos y redireccionamientos condicionales para evitar herramientas de seguridad que tienen rotación de dominio automatizada y redireccionamientos condicionales
“Incluso si se descubre un sitio de phishing a través de informes de víctimas, este no es un obstáculo importante para un atacante, ya que esto gira activamente el dominio de phishing cada pocos días”, explicaron los investigadores de los puntos de control.
Una forma efectiva de usar que un atacante puede usar es secuestrar un enlace de invitación de tocador caducado. Muchos servidores de discordia usan URL personalizadas (por ejemplo, discord.gg/projectName) que están disponibles para cualquier persona si el servidor pierde su estado de impulso.
“Los atacantes pueden monitorear y esperar a que caduquen los enlaces de tocador de alto valor. En el momento en que el enlace se libere, se registrarán inmediatamente en un servidor malicioso”, detalló los detalles del informe.
Esta táctica es particularmente efectiva ya que los usuarios todavía tienen enlaces de invitación antiguos almacenados en anuncios, sitios web o publicaciones en redes sociales, lo que los lleva a los servidores del atacante en lugar de legítimos.
Cómo protegerse
Los investigadores de Checkpoint recomiendan varias precauciones.
Asegúrese de que su bot de Discord tenga una marca de verificación de “aplicaciones validadas” antes de usar marcadores de sitios web criptográficos y no evitar que haga clic en enlaces no climados.
La combinación de refinamiento técnico e ingeniería social convincente continúa haciendo que estos ataques sean exitosos a pesar de los avances en la seguridad de la billetera y las soluciones anti-phishing de phishing.
¿Configuración del equipo de SOC? – Descargue la Guía de precios de SIEM Ultimate (PDF) gratuita para equipos SOC -> Descarga gratuita
