Clicky

La banda Crazy Evil ataca las criptomonedas con malware

Banda Crazy Evil

Emplea una red bien coordinada de traficantes

Una banda de ciberdelincuentes de habla rusa conocida como Crazy Evil ha sido vinculada a más de 10 estafas activas en las redes sociales que aprovechan una amplia gama de señuelos personalizados para engañar a las víctimas y hacer que instalen malware como StealC, Atomic macOS Stealer (también conocido como AMOS) y Angel Drainer.

"Crazy Evil se especializa en fraude de identidad, robo de criptomonedas y malware para robar información y emplea una red bien coordinada de traficantes: expertos en ingeniería social encargados de redirigir el tráfico legítimo a páginas de phishing maliciosas", afirmó en un análisis Insikt Group de Recorded Future.

El uso de un diverso arsenal de malware por parte de un grupo de estafadores de criptomonedas es una señal de que el actor de amenazas está apuntando a usuarios de sistemas Windows y macOS, lo que representa un riesgo para el ecosistema financiero descentralizado.

Se ha evaluado que Crazy Evil está activo desde al menos 2021 y funciona principalmente como un equipo de tráfico encargado de redirigir el tráfico legítimo a páginas de destino maliciosas operadas por otros equipos criminales. Supuestamente administrado por un actor de amenazas conocido en Telegram como @AbrahamCrazyEvil, al momento de escribir este artículo presta servicio a más de 4.800 suscriptores en la plataforma de mensajería (@CrazyEvilCorp).

"Ellos monetizan el tráfico hacia estos operadores de botnets que pretenden comprometer a los usuarios ya sea de manera amplia o específica en una región o un sistema operativo", dijo en agosto de 2022 la empresa francesa de ciberseguridad Sekoia en un informe profundo sobre los servicios de tráfico.

"El principal desafío al que se enfrentan los traficantes es, por tanto, generar tráfico de alta calidad sin bots, sin que los proveedores de seguridad lo detecten ni lo analicen y, en última instancia, lo filtren por tipo de tráfico. En otras palabras, la actividad de los traficantes es una forma de generación de potenciales clientes".

A diferencia de otras estafas que giran en torno a la creación de sitios de compras falsificados para facilitar transacciones fraudulentas, Crazy Evil se centra en el robo de activos digitales que involucran tokens no fungibles (NFT), criptomonedas, tarjetas de pago y cuentas bancarias en línea. Se estima que ha generado más de 5 millones de dólares en ingresos ilícitos y ha comprometido decenas de miles de dispositivos en todo el mundo.

esquema de Crazy Evil

También ha ganado una nueva prominencia a raíz de las estafas de salida que involucran a otros dos grupos de delitos cibernéticos, Markopolo y CryptoLove, ambos previamente identificados por Sekoia en octubre de 2024 como responsables de una campaña de ClickFix que utilizaba páginas falsas de Google Meet.

"Crazy Evil victimiza explícitamente el espacio de las criptomonedas con señuelos de phishing personalizados", dijo Recorded Future. "Los traficantes de Crazy Evil a veces tardan días o semanas en realizar un reconocimiento para determinar las operaciones, identificar los objetivos e iniciar los enfrentamientos".

Además de orquestar cadenas de ataques que distribuyen ladrones de información y vaciadores de billeteras, los administradores del grupo afirman ofrecer manuales de instrucciones y orientación para sus servicios de piratería y cifrado para cargas útiles maliciosas y se jactan de una estructura de afiliados para delegar las operaciones.

Crazy Evil es el segundo grupo de ciberdelincuentes después de Telekopye que ha sido descubierto en los últimos años, y centra sus operaciones en Telegram. Un bot de Telegram controlado por un actor de amenazas dirige a los afiliados recién reclutados a otros canales privados:

Payments, que anuncia las ganancias de los traficantes
Logbar, que proporciona un registro de auditoría de los ataques de los ladrones de información, detalles sobre los datos robados y si los objetivos son víctimas reincidentes
Info, que proporciona actualizaciones técnicas y administrativas periódicas para los traficantes
Global Chat, que sirve como espacio de comunicación principal para debates que abarcan desde el trabajo hasta los memes

"A medida que Crazy Evil continúa logrando éxito, es probable que otras entidades cibercriminales emulen sus métodos, lo que obliga a los equipos de seguridad a permanecer perpetuamente vigilantes para evitar infracciones generalizadas y la erosión de la confianza dentro de los sectores de criptomonedas, juegos y software", dijo Recorded Future.

También se han descubierto sitios de WordPress comprometidos, en total más de 10.000, que actúan como canal de distribución para AMOS y SocGholish como parte de lo que se ha descrito como un ataque del lado del cliente.

"El JavaScript cargado en el navegador del usuario genera la página falsa en un iframe", dijo el investigador de c/side Himanshu Anand. "Los atacantes utilizan versiones y plugins de WordPress obsoletos para dificultar la detección de sitios web que no cuentan con una herramienta de monitoreo del lado del cliente".

Jesus_Caceres