Ciberdelincuentes utilizan LinkedIn para nuevo ataque cripto

Los ciberdelincuentes emplean un nuevo método de ataque para robar criptomonedas. A través de empresas de inversión falsas en LinkedIn y una extensión de Chrome comprometida, los hackers hacen que las víctimas activen inadvertidamente software malicioso. Esta técnica, conocida como ClickFix, está siendo utilizada cada vez más, según investigadores en ciberseguridad.

Falsas empresas de capital riesgo abordan a profesionales en LinkedIn

Según la firma de seguridad Moonlock Lab, los atacantes se hacen pasar por empresas de capital riesgo con nombres como SolidBit, MegaBit y Lumax Capital. A través de LinkedIn, contactan a profesionales con propuestas de inversión o colaboraciones en el sector de las criptomonedas.

Tras una primera conversación, las víctimas reciben un enlace que parece conducir a una reunión de Zoom o Google Meet. En realidad, llegan a una página web falsa con un control de seguridad imitado, similar a una verificación de Cloudflare.

La víctima ejecuta el código malicioso por sí misma

En la página aparece la casilla «No soy un robot». Al hacer clic, se activa sin saberlo el siguiente paso. De forma automática, se copia un comando malicioso en el portapapeles. La víctima recibe luego instrucciones para abrir el terminal y pegar el código, ejecutando así la malware por sí misma.

Esto es lo que hace a ClickFix tan eficaz. No se descarga ningún archivo de virus, lo que impide que los sistemas de seguridad tradicionales lo detecten. Según los investigadores, la infraestructura detrás de la campaña está profesionalmente montada. Cuando una empresa falsa es descubierta, los delincuentes cambian inmediatamente a un nuevo nombre.

Extensión de Chrome comprometida busca frases de recuperación

Además del uso de la ingeniería social a través de LinkedIn, los hackers emplearon una extensión de Chrome capturada llamada QuickLens. Esta extensión cambió de propietario el 1 de febrero. Dos semanas después, apareció una actualización con código malicioso oculto. Unos 7.000 usuarios habían instalado la extensión.

La versión modificada buscaba activamente datos de criptomonedas y frases de recuperación. Una frase de recuperación es un código que permite el acceso completo a una billetera de criptomonedas. Quien la posee puede transferir todas las criptomonedas sin el permiso del propietario.

Además, el malware recopilaba datos de Gmail, YouTube, credenciales de inicio de sesión almacenadas e información de pago. La extensión ha sido eliminada de la Chrome Web Store.

ClickFix se convierte en una amenaza global

La técnica se ha utilizado cada vez más desde 2024. Microsoft advirtió el año pasado que estaba monitoreando campañas que afectaban diariamente a miles de dispositivos en todo el mundo. Asimismo, la compañía de ciberseguridad Unit42 informó que ClickFix ya se utiliza contra gobiernos, empresas de energía y el comercio minorista.

Los recientes ataques muestran que los ciberdelincuentes recurren cada vez más a explotar el comportamiento humano en lugar de vulnerabilidades técnicas. Al generar confianza a través de perfiles de LinkedIn o software aparentemente legítimo, los atacantes logran que las víctimas realicen por sí mismas acciones perjudiciales.

Los expertos en seguridad aconsejan extremar la precaución ante propuestas de inversión inesperadas, enlaces de reuniones desconocidos y actualizaciones repentinas de extensiones de navegador. Especialmente los usuarios de billeteras de criptomonedas están en riesgo.