Los ciberdelincuentes están creando firmas de capital de riesgo falsas para ganarse la confianza de desarrolladores Web3 y engañarlos para que infecten sus propias máquinas durante una aparente “reunión virtual”.
El panorama de amenazas para los profesionales de las criptomonedas y la tecnología Web3 se ha sofisticado enormemente. Una campaña de malware coordinada está utilizando una cuidadosa cadena de ingeniería social, identidades falsas de capital de riesgo (VC) y enlaces de videoconferencia suplantados para infiltrarse en la industria.
Rastreada desde principios de este año, la operación emplea una táctica denominada ClickFix para manipular a las víctimas, logrando que ejecuten comandos maliciosos en sus propios equipos de forma inadvertida y convirtiéndolas en el mecanismo de entrega del ataque.
El Engaño Perfecto en LinkedIn
La campaña comienza atacando el ego y la posición profesional en la popular red LinkedIn.
- Un operador utiliza la identidad falsa de “Mykhailo Hureiev”, presentándose ante el objetivo como cofundador y socio gerente de una supuesta firma de inversión llamada SolidBit Capital.
- Para construir una falsa sensación de confianza, los atacantes inician la conversación haciendo referencia directa al trabajo público de la víctima en las comunidades de criptomonedas o finanzas descentralizadas (DeFi).
- Una vez que el profesional acepta la propuesta, el estafador programa una llamada técnica mediante la plataforma Calendly.
- Este enlace de invitación redirige silenciosamente a la víctima hacia una página de reunión de Zoom o Google Meet completamente falsificada, la cual ha sido diseñada exclusivamente para entregar el malware.
La Trampa del “ClickFix” y el Falso Cloudflare
La técnica ClickFix es el núcleo que convierte una interacción rutinaria en el compromiso total del dispositivo.
Cuando la víctima llega a la página de la falsa reunión (que en ocasiones imita la web de una conferencia de activos digitales o usa un dominio con errores tipográficos similar a Hedgeweek), se encuentra con un aparente control de seguridad de Cloudflare para verificar que “No es un robot”. Sin embargo, este cuadro está construido localmente con HTML y CSS, careciendo de cualquier infraestructura real de validación de Cloudflare.
En el instante exacto en que el usuario hace clic en la casilla de verificación, un script de JavaScript utiliza la función navigator.clipboard.writeText() para escribir silenciosamente un comando malicioso en el portapapeles del sistema. Luego, la página engaña al usuario para que abra su terminal y pegue el código bajo la excusa de tener que “solucionar” un supuesto problema de conexión para poder entrar a la videollamada.
Cargas Útiles Invisibles
El ataque es multiplataforma y se adapta inteligentemente leyendo el User-Agent del navegador de la víctima:
- Para usuarios de Windows: El portapapeles recibe un comando de PowerShell diseñado para ocultar su ventana, eludir las políticas de ejecución locales y utilizar el cmdlet Invoke-Expression para ejecutar un script remoto directamente en la memoria. Esto garantiza que no quede ningún rastro en el disco duro que el antivirus pueda detectar.
- Para usuarios de macOS: Se inyecta un comando bash de una sola línea que instala el gestor Homebrew (si el equipo no tiene Python 3), descarga un script de Python desde el servidor de comando y control hedgeweeks[.]online, y lo ejecuta usando nohup bash para mantener el malware corriendo aunque el usuario cierre la terminal.
- Evasión Total: Analistas de la firma Moonlock evaluaron dos binarios de macOS vinculados a esta red y descubrieron que mantenían un índice de detección de cero en todos los motores de VirusTotal durante un período prolongado.
La Infraestructura Detrás del Telón
Los investigadores rastrearon todos los dominios maliciosos de esta operación hasta un único nombre de registro: Anatolli Bigdasch, supuestamente radicado en Boston. Además de SolidBit Capital, se descubrieron dos fachadas financieras falsas más listas para ser usadas: MegaBit y Lumax Capital. Todas ellas cuentan con sitios web corporativos pulidos, fotos de perfil de ejecutivos generadas por Inteligencia Artificial y una historia empresarial completamente inventada.
Aunque no hay una confirmación definitiva sobre la identidad gubernamental de los atacantes, los patrones operativos de esta campaña reflejan estrechamente la actividad que en el pasado fue atribuida a UNC1069, un actor de amenazas que ha sido rastreado desde 2018 y del cual se sospecha que tiene conexiones directas con Corea del Norte.
