Los investigadores de seguridad cibernética han levantado la tapa de dos actores de amenazas que orquestan estafas de inversión a través de avales de celebridades falsificados y ocultan su actividad a través de los sistemas de distribución de tráfico (TDSE).
Los grupos de actividades han sido llamados en código CDYCHESS Rabbit y Rushless Rabbit por la firma de inteligencia de amenazas DNS Informlox.
Se ha observado que los ataques atraen a las víctimas con plataformas falsas, incluidos los intercambios de criptomonedas, que luego se anuncian en las plataformas de redes sociales. Un aspecto importante de estas estafas es el uso de formularios web para recopilar datos de usuario.
«Rabbit imprudente crea anuncios en Facebook que conducen a artículos de noticias falsos con un respaldo de celebridades para la plataforma de inversión», dijeron los investigadores de seguridad Darby Wise, Piotr Glaska y Laura da Rocha. «El artículo incluye un enlace a la plataforma de estafa que contiene un formulario web integrado que persuade al usuario para que ingrese su información personal para que ‘se registre’ para la oportunidad de inversión».
Algunos de estos formularios, además de solicitar los nombres, números de teléfono y direcciones de correo electrónico de los usuarios, ofrecen la capacidad de generar automáticamente una contraseña, una información clave que se usa para progresar a la siguiente fase del ataque: las verificaciones de validación.
Los actores de amenaza que realizan HTTP obtienen solicitudes a herramientas legítimas de validación de IP, como IPINFO (.) IO, ipgeolocation (.) IO o IPAPI (.) CO, para filtrar el tráfico de los países que no están interesados. También se realizan cheques para garantizar que los números y las direcciones de correo electrónico proporcionadas sean auténticas.
Si el usuario se considera digno de explotación, posteriormente se enruta a través de un TDS que los lleva directamente a la plataforma de estafa donde se enfrentan a una separación con sus fondos prometiendo altos retornos, o a una página diferente que les indica que esperen una llamada de su representante.
«Algunas campañas usan centros de llamadas para proporcionar a las víctimas instrucciones sobre cómo configurar una cuenta y transferir dinero a la plataforma de inversión falsa», explicaron los investigadores. «Para los usuarios que no pasan el paso de validación, muchas campañas simplemente mostrarán una página de destino de ‘agradecimiento'».
Un aspecto importante de la actividad es el uso de un algoritmo de generación de dominio registrado (RDGA) para establecer nombres de dominio para las plataformas de inversión incompletas, una técnica también adoptada por otros actores de amenaza como PUMA prolífico, conejo revólver y VEXTRIO VIPER.
A diferencia de los algoritmos de generación de dominio tradicionales (DGA), las RDGA utilizan un algoritmo secreto para registrar todos los nombres de dominio. Se dice que Rabbit imprudente ha estado creando dominios desde abril de 2024, principalmente dirigidos a usuarios en Rusia, Rumania y Polonia, al tiempo que excluyó el tráfico de Afganistán, Somalia, Liberia, Madagascar y otros.
Los anuncios de Facebook utilizados para dirigir a los usuarios a los artículos de noticias falsas están intercalados con contenido publicitario relacionado con artículos que figuran en venta en mercados como Amazon en un intento por evadir la detección y la acción de aplicación.
Además, los anuncios contienen imágenes no relacionadas y muestran un dominio señuelo (por ejemplo, «Amazon (.) PL») que es diferente del dominio real que el usuario se redirigirá una vez que haga clic en el enlace (por ejemplo, «Tyxarai (.) Org»).
Se cree que Rushless Rabbit, por otro lado, ha estado ejecutando activamente campañas de estafa de inversión desde al menos noviembre de 2022 que están dirigidas a usuarios de Europa del Este. Lo que distingue a este actor de amenaza es que ejecuta su propio servicio de encubrimiento («MCRACTDB (.) Tech») para realizar verificaciones de validación.
Los usuarios que superan los controles de verificación se enrutan posteriormente a una plataforma de inversión donde se les insta a ingresar su información financiera para completar el proceso de registro.
«Un TDS permite a los actores de amenaza fortalecer su infraestructura, haciéndola más resistente al proporcionar la capacidad de ocultar contenido malicioso de investigadores y bots de seguridad», dijo Infloxox.
Esta no es la primera vez que tales campañas de estafa de inversión fraudulenta se han descubierto en la naturaleza. En diciembre de 2024, ESET expuso un esquema similar denominado Nomani que utiliza una combinación de testimonios de videos de malvertición de redes sociales, con la marca de la compañía y los testimonios de video con inteligencia artificial (IA) con personalidades famosas.
Luego, el mes pasado, las autoridades españolas revelaron que han arrestado a seis personas de entre 34 y 57 años por supuestamente dirigir una estafa de inversión de criptomonedas a gran escala que utilizó herramientas de IA para generar anuncios profundos con figuras públicas populares para engañar a las personas.
Renee Burton, vicepresidenta de inteligencia de amenazas en Infloxx, dijo a The Hacker News que «tendrían que echar un vistazo más de cerca para ver si hay alguna evidencia» para determinar si hay alguna conexión entre estas actividades y las realizadas por Rabbit y Ruthless Rabbit sin rutas.
«Los actores de amenaza como los conejos imprudentes y despiadados serán implacables en sus intentos de engañar a tantos usuarios como sea posible», dijeron los investigadores. «Debido a que este tipo de estafas han demostrado ser altamente rentables para ellos, continuarán creciendo rápidamente, tanto en número como sofisticación».
Las estafas de caja misteriosa proliferan a través de anuncios de Facebook
El desarrollo se produce cuando Bitdefender advierte sobre un aumento en las sofisticadas estafas de suscripción que hacen uso de una red de más de 200 sitios web falsos convincentes para engañar a los usuarios para que paguen suscripciones mensuales y compartan los datos de sus tarjetas de crédito.
«Los delincuentes crean páginas de Facebook y obtienen anuncios completos para promover la estafa de ‘misterio’ ya clásica y otras variantes», dijo la compañía rumana. «La estafa ‘Mystery Box’ ha evolucionado y ahora incluye pagos recurrentes casi ocultos, junto con enlaces a sitios web a varias tiendas. Facebook se utiliza como la plataforma principal para estas nuevas y mejoradas estafas de caja misteriosa».
Los anuncios patrocinados por Rogue anuncian las ventas de autorización de marcas como Zara u ofrecen la oportunidad de comprar una «caja misteriosa» que contiene productos de Apple y busca atraer a los usuarios al afirmar que pueden obtener uno de ellos pagando una suma mínima de dinero, a veces tan bajo como $ 2.
Los cibercriminales implementan varios trucos para evitar los esfuerzos de detección, incluida la creación de múltiples versiones del anuncio, solo uno de los cuales es malicioso, mientras que los otros muestran imágenes de productos aleatorios.
Estas estafas, como las perpetradas por el conejo imprudente y el conejo despiadado, incorporan un componente de encuesta para garantizar que las víctimas sean personas reales y no bots. Además, las páginas de pago de los usuarios desprevenidos en un programa de suscripción que obtiene los ingresos recurrentes de los actores de amenaza con el pretexto de darles un descuento.
«Los delincuentes han estado bombeando fondos en anuncios que promueven a los creadores de contenido imitados, utilizando el mismo modelo de suscripción que parece ser ahora el flujo de ingresos impulsores de estas estafas», dijeron los investigadores de bitdefender Răzvan Gosa y Silviu Stahie.
«Los estafadores a menudo cambian las marcas personificadas, y han comenzado a expandirse más allá de las cajas misteriosas existentes. Ahora están tratando de vender productos de baja calidad o artículos de imitación, inversiones falsas, suplementos y mucho más».
Sanciones del Tesoro de EE. UU. Milicia vinculada a la junta en Myanmar sobre compuestos de estafa
Los hallazgos también siguen una ola de sanciones impuestas por el Departamento del Tesoro de los Estados Unidos contra el Ejército Nacional Karen ligado a Myanmar (KNA) para ayudar a los sindicatos de crímenes organizados que operan compuestos de estafas multimillonarios, así como para facilitar el tráfico de personas y los contrabando de la humanidad.
Las acciones también se dirigen al líder del grupo vieron a Chit Thu, y sus dos hijos, vieron htoo eh moo y vieron chit chit. Saw Chit Thu fue sancionado por el Reino Unido en 2023 y la Unión Europea en 2024 por convertirse en un facilitador clave de las operaciones de estafa en la región.
«Las operaciones de estafa cibernética, como las administradas por la KNA, generan miles de millones en ingresos para los perros criminales y sus asociados, mientras privan a las víctimas de sus ahorros y sentido de seguridad ganados con tanto esfuerzo», dijo el subsecretario Michael Faulkender.
En estas llamadas estafas románticas, los estafadores, que son traficados a los sitios de estafa al atraerlos con trabajos de alto remedio, se ven obligados a dirigirse a extraños en línea, construir una relación con ellos con el tiempo, y luego inducirlos a invertir en las plataformas de criptomonedas y comerciales controladas por los actores criminales.
«El KNA se beneficia de los esquemas de estafa cibernética a escala industrial mediante el arrendamiento de tierras que controla a otros grupos de delitos organizados, y brindando apoyo para la trata de personas, el contrabando y la venta de servicios públicos utilizados para proporcionar energía a las operaciones de estafa», dijo el departamento del Tesoro. «El KNA también proporciona seguridad en los compuestos de estafa en Karen State».
La Oficina de las Naciones Unidas sobre Drogas y Crimen (UNODC) el mes pasado divulgó los centros de estafa todavía se están expandiendo a pesar de las recientes represiones, generando ganancias anuales por una suma de aproximadamente $ 40 mil millones.