Recomendado

Depósito cripto Realice transferencias instantáneas de criptomonedas a su cuenta de futuros
Futuros perpetuos USDT-M Opere con contratos de futuros liquidados en USDT
Descuentos de tasas VIP Disfrute de diferentes descuentos sobre las tasas en función de su nivel VIP
Futuros perpetuos COIN-M Opere con contratos de futuros liquidados en criptomonedas
Depósito fiat Compre sus monedas favoritas en segundos
Afiliados Invite a sus amigos y obtenga recompensas
Convertir Convierta criptomonedas al instante
Centro de soporte Aquí podrá encontrar las preguntas más frecuentes (FAQ)
Anuncios Consulte todos nuestros comunicados y avisos oficiales
BTCC Academy Aprenda sobre blockchain y criptomonedas
Noticias Las últimas tendencias del mercado de criptomonedas

Promociones

Recomendación
Campañas
Activos
Depósito cripto
Depósito fiat
Convertir
Transferencia
Retirar
Mis cupones
Historial de fondos
Dashboard
Seguridad de la cuenta
Verificación de identidad
Administración API
Informe de transacciones
Cerrar sesión
registrarme
BTCC / BTCC Square / CryptopolitanES /
ALERTA: Hackers atacan monederos de cripto y datos de navegación mediante ventanas emergentes falsas de reCAPTCHA

ALERTA: Hackers atacan monederos de cripto y datos de navegación mediante ventanas emergentes falsas de reCAPTCHA

Author:
CryptopolitanES
Published:
2025-11-18 11:33:14
16
2

Los hackers atacan monederos de criptomonedas y datos de navegación en una campaña de ventanas emergentes reCAPTCHA falsas

Una nueva campaña de ciberseguridad sacude el ecosistema cripto

Mecanismo de ataque sofisticado

Los ciberdelincuentes han perfeccionado una técnica que engaña a usuarios mediante ventanas emergentes falsas de verificación reCAPTCHA. El objetivo: robar credenciales de monederos digitales y datos sensibles de navegación.

Impacto en la comunidad crypto

Miles de usuarios reportan intentos de phishing que simulan ser procesos de verificación legítimos. Los atacantes aprovechan la confianza depositada en sistemas de seguridad establecidos para perpetrar sus robos.

Protección de activos digitales

Expertos recomiendan verificar siempre la autenticidad de las ventanas emergentes y utilizar monederos hardware para almacenamiento a largo plazo. La seguridad en capas se consolida como única defensa efectiva contra estas amenazas crecientes.

Ironías del sistema financiero

Mientras los bancos tradicionales siguen cuestionando la seguridad de las criptomonedas, sus propios sistemas centralizados sufren brechas masivas cada semana. Al menos en crypto, la seguridad depende del usuario, no de terceros.

La campaña ClickFix utiliza reCAPTCHA para introducir malware de forma infiltrada.

Según una investigación de eSentire publicada el jueves pasado, los hackers están atrayendo a las víctimas utilizando sitios web falsos y ventanas emergentes que parecen "controles de seguridad", incluyendo casillas de verificación reCAPTCHA fraudulentas y páginas falsificadas de Cloudflare Turnstile.

Las interfaces engañosas incitan a los usuarios a «solucionar» un supuesto problema, y las instrucciones les llevan a ejecutar comandos dañinos sin que sean conscientes de los riesgos. Una vez ejecutado el comando inicial, se instala primero Amatera Stealer, seguido de NetSupport Manager, que permite a los atacantes monitorizar y controlar el equipo comprometido como si estuvieran físicamente presentes.

Amatera Stealer no es una amenaza completamente nueva, sino la última evolución de ACR Stealer, también conocido como AcridRain. La versión anterior apareció por primera vez como un producto de malware como servicio en foros de hackers en 2024, y varios usuarios la implementaron mediante paquetes de suscripción.

Las ventas de ACR se interrumpieron a mediados de 2024 cuando su desarrollador, conocido en línea como SheldIO, vendió el código fuente del malware. A pesar del anuncio de la venta, el grupo afirmó que esto no suponía el fin de su desarrollo. Los investigadores creen ahora que Amatera es el sucesor directo de ACR, reconstruido con mayores capacidades y nuevas técnicas de evasión.

Amatera, detectada por la empresa de auditoría de seguridad Proofpoint en junio, está disponible mediante suscripción con precios que oscilan entre 199 dólares al mes y 1499 dólares al año.

“Amatera proporciona a los ciberdelincuentes amplias capacidades de exfiltración de datos dirigidas a criptomonedas, navegadores, aplicaciones de mensajería, clientes FTP y servicios de correo electrónico. Emplea estrategias de evasión avanzadas como las llamadas al sistema WoW64 para sortear los mecanismos de interceptación en modo usuario utilizados por los entornos aislados, las soluciones antivirus y los productos EDR”, afirmó eSentire.

El malware está escrito en C++ y es capaz de recopilar contraseñas guardadas, datos de tarjetas, historiales de navegación y archivos de navegadores como Chrome, Brave, Edge, Opera, Firefox y plataformas especializadas como Tor Browser y Thunderbird.

Cargadores de Windows PowerShell de varias etapas que ocultan malware

Según el análisis de amenazas de eSentire, el proceso de infección de Amatera se basa en varias capas de comandos de PowerShell ofuscados. 

Los investigadores de TRU observaron una fase en la que se descifraban las cargas útiles subsiguientes mediante una operación XOR con la cadena «AMSI_RESULT_NOT_DETECTED», un término asociado a la interfaz de análisis antimalware de Microsoft. Es posible que el desarrollador del cargador haya seleccionado esta frase intencionadamente para confundir a los investigadores que realizaban análisis dinámicos.

Si bien Amatera es la carga útil más común en estas campañas, eSentire también documentó casos en los que se utilizó el mismo cargador para desplegar otros programas de robo de información, como Lumma y Vidar. Algunas muestras carecían de los parámetros de configuración necesarios para ejecutar cargadores de varias etapas, por lo que los atacantes optaron por desplegar NetSupport Manager directamente.

eSentire y otras empresas de seguridad han documentado campañas de correo electrónico que distribuyen archivos de script de Visual Basic disfrazados de facturas. Al abrirlos, se ejecutan scripts por lotes que inician cargadores de PowerShell que instalan el gusano XWorm.

Otras campañas involucraron sitios web comprometidos que redirigían a los visitantes a páginas falsas de verificación de Cloudflare, las cuales imitaban las notificaciones de ClickFix. Esta actividad se ha vinculado a una operación conocida con nombres como SmartApeSG, HANEYMANEY y ZPHP, todas las cuales utilizan el RAT NetSupport como carga útil final.

Los hackers habían creado sitios web fraudulentos de Booking.com que alojaban comprobaciones CAPTCHA falsificadas, instruyendo a los usuarios para que abrieran el cuadro de diálogo Ejecutar de Windows y ejecutaran un comando, e instalando directamente un script de robo dedenten los sistemas infectados.

Algunas de las campañas de phishing relacionadas con la distribución de este malware utilizan un nuevo kit de phishing conocido como Cephas. Según la empresa de soluciones de ciberseguridad Barracuda, Cephas emplea un método avanzado de ofuscación que inserta caracteres invisibles en el código fuente de las páginas de phishing, lo que dificulta su detección por parte de los escáneres automatizados.

“El kit oculta su código creando caracteres invisibles aleatorios dentro del código fuente que le ayudan a evadir los escáneres antiphishing e impiden que las reglas YARA basadas en firmas coincidan con los métodos de phishing exactos”, escribió en su análisis la semana pasada.

Hazte notar donde importa. Publicita en Cryptopolitan Research y llega a los inversores y creadores de criptomonedas más inteligentes.

|Square

Descárguese la aplicación BTCC para empezar su trayectoria cripto

Download on the App Store GEI IT ON Google Play

Empiece hoy mismo Escanéelo y únase a más de 100 millones de usuarios

Exchange for a better future

Productos
Servicios
Guías
Sobre nosotros
Términos y acuerdo de servicio
Servicio de atención al cliente

Advertencia de riesgo: El comercio de activos digitales es una industria emergente con brillantes perspectivas de futuro, pero también trae aparejada grandes riesgos, ya que se trata de un mercado totalmente nuevo. Este riesgo es especialmente alto al realizar operaciones con apalancamiento, ya que el apalancamiento magnifica los beneficios pero, al mismo tiempo, también amplifica los riesgos. Antes de abrir una posición de inversión, asegúrese de conocer bien la industria, los modelos de trading con apalancamiento y las reglas de trading. Además, también le recomendamos encarecidamente que determine cuál es su tolerancia personal al riesgo y que solo corra los riesgos que esté dispuesto a asumir. Toda inversión u operación conlleva riesgos. Por lo tanto, debe ser prudente al entrar en el mercado.

El intercambio de criptomonedas más antiguo del mundo desde 2011. © 2011 - 2025 BTCC.com. All rights reserved

Descargo de responsabilidad: Los artículos reproducidos en este sitio provienen de redes públicas y se comparten únicamente con el propósito de transmitir información sectorial, sin representar una posición oficial de BTCC. Los derechos de autor corresponden a sus respectivos creadores. Si detecta contenido que infringe derechos de autor o resulta cuestionable, contacte con nosotros en [email protected] para que podamos proceder de acuerdo con la ley. BTCC no garantiza la exactitud, actualidad o integridad de la información reproducida y declina cualquier responsabilidad, expresa o implícita, derivada del uso de dicha información. Todo el contenido se proporciona como referencia para la investigación sectorial y no constituye una recomendación de inversión, legal o comercial. BTCC no se hace responsable de las acciones emprendidas en base a esta información.