Incidentes Asociados
Los investigadores de ciberseguridad están llamando la atención sobre un nuevo tipo de estafa de inversión que aprovecha una combinación de publicidad maliciosa en las redes sociales, publicaciones con la marca de la empresa y testimonios en video impulsados por inteligencia artificial (IA) que presentan personalidades famosas, lo que en última instancia conduce a la pérdida financiera y de datos.
"El objetivo principal de los estafadores es llevar a las víctimas a sitios web y formularios de phishing que recopilan su información personal", señaló ESET [(https://www.welivesecurity.com/en/eset-research/eset-threat-report-h2-2024/) en su Informe de amenazas del segundo semestre de 2024 compartido con The Hacker News.
La empresa de ciberseguridad eslovaca está rastreando la amenaza bajo el nombre Nomani, un juego de palabras con la frase "sin dinero". Según ESET, la estafa creció más de un 335% entre el primer y el segundo semestre de 2024, con más de 100 nuevas URL detectadas diariamente en promedio entre mayo y noviembre de 2024.
Los ataques se llevan a cabo a través de anuncios fraudulentos en plataformas de redes sociales, en varios casos dirigidos a personas que previamente han sido estafadas haciendo uso de señuelos relacionados con Europol e INTERPOL para contactarlos en busca de ayuda o para obtener el reembolso de su dinero robado haciendo clic en un enlace.
Estos anuncios se publican desde una combinación de perfiles legítimos falsos y robados asociados con pequeñas empresas, entidades gubernamentales y microinfluencers con decenas de miles de seguidores. Otros canales de distribución incluyen compartir estas publicaciones en Messenger y Threads, así como compartir reseñas engañosamente positivas en Google.
"Otro gran grupo de cuentas que difunden con frecuencia anuncios de Nomani son perfiles recién creados con nombres fáciles de olvidar, un puñado de seguidores y muy pocas publicaciones", señaló ESET.
Se ha descubierto que los sitios web a los que dirigen estos enlaces solicitan su información de contacto e imitan visualmente a los medios de comunicación locales; abusan de los logotipos y la marca de organizaciones específicas o afirman que anuncian soluciones de gestión de criptomonedas con nombres que cambian constantemente, como Quantum Bumex, Immediate Mator o Bitcoin Trader.
En el siguiente paso, los cibercriminales utilizan los datos recopilados de los dominios de phishing para llamar directamente a las víctimas y manipularlas para que inviertan su dinero en productos de inversión inexistentes que muestran falsamente ganancias fenomenales. En algunos casos, las víctimas son engañadas para que soliciten préstamos o instalen aplicaciones de acceso remoto en sus dispositivos.
"Cuando estos 'inversores' víctimas solicitan el pago de las ganancias prometidas, los estafadores los obligan a pagar tarifas adicionales y a proporcionar más información personal, como información de identificación y tarjeta de crédito", dijo ESET. "Al final, los estafadores toman tanto el dinero como los datos y desaparecen, siguiendo la típica estafa de matanza de cerdos](https://thehackernews.com/2024/11/microsoft-meta-and-doj-disrupt-global.html)".
Hay evidencia que sugiere que Nomani es obra de actores de amenazas de habla rusa dada la presencia de comentarios en el código fuente en cirílico y el uso de herramientas de Yandex para el seguimiento de visitantes.
Al igual que en las principales operaciones de estafa como Telekopye, se sospecha que hay diferentes grupos que están a cargo de administrar todos y cada uno de los aspectos de la cadena de ataque: Robo, creación y abuso de cuentas Meta y anuncios, construcción de la infraestructura de phishing y gestión de los centros de llamadas.
"Al utilizar técnicas de ingeniería social y generar confianza con las víctimas, los estafadores a menudo superan incluso los mecanismos de autorización y las llamadas telefónicas de verificación que utilizan los bancos para prevenir el fraude", dijo ESET.
El desarrollo se produce después de que las autoridades policiales de Corea del Sur anunciaran que habían desmantelado una red de fraude a gran escala que había estafado a sus víctimas por casi 6,3 millones de dólares con plataformas de comercio en línea falsas como parte de una operación llamada MIDAS. Se han incautado más de 20 servidores utilizados por la red de fraude y se ha arrestado a 32 personas involucradas en el plan.
Además de atraer a las víctimas con SMS y llamadas telefónicas, los usuarios de los programas ilícitos de sistemas de comercio desde casa (HTS) fueron inducidos a invertir sus fondos viendo vídeos de YouTube y uniéndose a las salas de chat de KakaoTalk.
"El programa se comunica con los servidores de firmas de corretaje reales para obtener información sobre el precio de las acciones en tiempo real y utiliza bibliotecas de gráficos disponibles públicamente para crear representaciones visuales", dijo el Instituto de Seguridad Financiera (K-FSI) en una presentación que se realizó en la conferencia Black Hat Europe la semana pasada.
"Sin embargo, no se realizan transacciones bursátiles reales. En cambio, la característica principal del programa, una función de captura de pantalla, se utiliza para espiar las pantallas de los usuarios, recopilar información no autorizada y negarse a devolver el dinero".