ESET advierte sobre una falsa app de la criptomoneda Safemoon que espía y roba información sensible

ESET, compañía de seguridad informática, detectó una campaña activa de una falsa app de billetera de la criptomoneda Safemoon que distribuye una herramienta de acceso remoto (RAT) utilizada para espiar a la víctima, robar credenciales y más.

Los delitos relacionados con la minería, compra y venta de monedas virtuales siguen en alza: desde la minería en navegadores o la utilización de criptomineros, hasta ataques de ingeniería social que utilizan la temática como excusa atractiva para atraer a las víctimas. En este caso ESET, compañía líder en detección proactiva de amenazas, alerta sobre una campaña activa y vigente sobre falsa app de la criptomoneda Safemoon que distribuye un RAT que espía y roba información sensible.

Entre las funcionalidades más críticas que realiza el RAT en el equipo comprometido ESET identificó la obtención de credenciales de acceso de varios navegadores, como Internet Explorer, Firefox y Google Chrome; el registro de las pulsaciones de teclado del usuario (o keylogging), la captura de audio desde el micrófono de la víctima o la descarga de archivos adicionales de acuerdo al interés del atacante mediante enlaces. Además, tiene la capacidad de realizar acciones que pueden auxiliar a otros códigos maliciosos para su funcionamiento, como la eliminación de archivos o carpetas, o la modificación del fondo de pantalla del usuario.

Safemoon es una criptomoneda creada en marzo de 2021 que fue destacada por su alta volatilidad y crecimiento desde su lanzamiento. En agosto de este año, se denunció vía Reddit un sitio que suplantaba su identidad. En el engaño los usuarios eran contactados a través de mensajes directos de diferentes cuentas que simulaban ser la oficial de Safemoon en Discord, y hacía referencia al lanzamiento de una actualización de la aplicación de billetera.

A la hora de verificar el enlace adjunto, los investigadores de ESET verificaron que no se trataba del sitio oficial, sino de una suplantación de identidad conocida como ataque homográfico, en donde el cibercriminal agrega o modifica un carácter del enlace a falsificar.