Una nueva investigación descubierta por Infoblox revela que más de 236.000 sitios web utilizan plantillas de fraude de inversiones creadas utilizando un marco de desarrollo de aplicaciones multiplataforma de código abierto genuino chino llamado DCloud Uni-App.
Estas plantillas están impulsando intercambios criptográficos falsos, operaciones multilingües de matanza de cerdos, redes de phishing de WhatsApp, plataformas de apuestas falsas, sitios de suplantación de marcas y billeteras criptográficas exfiltradas. Las empresas de inteligencia de amenazas DNS identificaron un total de 236.493 dominios de segundo nivel diferentes.
«En los últimos dos años, los sitios web fraudulentos que utilizan el marco DCloud han crecido dramáticamente en tamaño, y los operadores de estos sitios continúan lanzando complejos esquemas del mundo real para defraudar a las víctimas», dijo Infoblox en un informe detallado publicado la semana pasada.
Aunque a un actor desconocido se le atribuye la venta de la plantilla de fraude de inversiones de DCloud, hay signos de propiedad concentrada en una parte importante de los sitios web de fraude de inversiones creados por DCloud.
Esto se basa en la disminución observada en los registros de nuevos dominios en sitios web fraudulentos en varios hosts, lo que hace más probable que una entidad centralizada enfrente interrupciones o realice cambios organizativos en el sitio fraudulento de inversiones DCloud. Otros indicadores incluyen huellas técnicas específicas, métodos de comunicación con la víctima, decisiones de hospedaje, etc.
Entre los dominios identificados se encuentra la infame plataforma RainbowEx, un intercambio de criptomonedas falso que fue noticia a fines de 2024 por operar un esquema Ponzi que afectó a decenas de miles de personas en San Pedro, Argentina. Más tarde ese año, siete personas involucradas en la operación fueron arrestadas por las autoridades policiales.
Infoblox dijo que si bien el uso de DCloud no es malicioso en sí mismo, comparten varias características: interfaces intermediarias falsas, avisos que desperdician billeteras de criptomonedas, interfaces de juegos de azar con resultados fraudulentos, escaparates que se hacen pasar por marcas y Bulletproof Hosting (BPH).
La compañía dijo que los dominios fraudulentos abarcan todos los continentes, se dirigen a hablantes de al menos ocho idiomas y se hacen pasar por marcas que van desde las principales bolsas de valores hasta gigantes minoristas y plataformas de mensajería. El fraude continúa desde mediados de 2022. Dos poblaciones relacionadas pero distintas surgieron de los sitios de huellas dactilares de DCloud.
Los sitios que llevan firmas básicas del marco DCloud Uni-App que data de 2021 incluyen tanto empresas chinas legítimas como actividades maliciosas. Un subconjunto dedicado a estafas de inversión activo desde mediados de 2022.
«En contra de la intuición, la población de fraude de inversiones es más frecuente de lo que revelaría la simple toma de huellas dactilares del marco DCloud, ya que operadores más sofisticados están eliminando el andamiaje predeterminado de DCloud y eludiendo la identificación basada en huellas dactilares», señaló Infoblox.
El segundo conjunto de sitios web fraudulentos de DCloud es operado por múltiples operadores no relacionados y consta de una variedad de esquemas de fraude.
Intercambios de cifrado falsos o plataformas de negociación de depósitos que se hacen pasar por intercambios conocidos para engañar a los usuarios para que inviertan; drenadores de billeteras criptográficas que falsifican los flujos de verificación de BNB Chain o Tether para atraer a los usuarios a conectarse a sus billeteras; mostrar actividad comercial ficticia hasta que la víctima intente retirar fondos; mercados de predicción estilo polimercado, o mercados de predicción o parodias de juegos de azar que imitan casinos o plataformas de lotería falsos; WhatsApp o dominios similares a mensajes, p. «whats-zwp(.)vip» o «faq-whatsapp-center(.)com») para hacerse pasar por el Centro de ayuda de seguridad de WhatsApp y extraer credenciales Phishing de plataforma Plantillas comunes que incluyen páginas simples de inicio de sesión y registro Phishing y recolección de credenciales
«En los Estados Unidos, el mismo esquema ha aparecido dos veces en operaciones públicamente conocidas, la primera vez fue la estafa de inversión en scooters compartidos de LSSC que se convirtió en una importante investigación de fraude federal y estatal el año pasado, y la segunda vez fue una estafa con temas de inversión en bicicletas compartidas que actualmente está reclutando activamente víctimas bajo una fachada corporativa registrada en el Reino Unido con una licencia federal genuina de servicios monetarios de EE.UU.», dijo la compañía.
Creada utilizando el marco Uni-App, la estafa de inversión en scooters opera bajo la marca Yuechi Sharing Technology Ltd. y se dirige principalmente a Australia, Nueva Zelanda y Estados Unidos. La interfaz de Yuechi presenta un formulario de inicio de sesión o registro; este último solicita a los usuarios que ingresen su número de teléfono, código de verificación por SMS y código de invitación compartido con los afiliados existentes del esquema piramidal.
«Las puertas con códigos de invitación son comunes entre los sitios web de fraude de inversiones. Las víctimas potenciales no pueden crear una cuenta o llegar a la pantalla de depósito sin que un afiliado existente se lo solicite primero», explicó Infoblox. «Este requisito es consistente con el hecho de que la mayoría de los operadores convierten a cada víctima en un reclutador, intentando reclutar a sus propios amigos, familiares y colegas para atraer aún más inversiones y construir la pirámide».
El sitio también incorpora un componente de servicio al cliente que redirige a las víctimas a un chat de marca fuera de la plataforma para abordar problemas como errores de registro, retiros bloqueados y retenciones de depósitos.
Además, el análisis de Infoblox de la infraestructura de fraude de inversiones construida por DCloud revela que la mayoría de los dominios están alojados en proveedores legítimos como Cloudflare, Alibaba Cloud, Tencent Cloud y Amazon Web Services. Se descubrió que aproximadamente el 6 % de los dominios visibles de fraude de inversiones creados por DCloud utilizaban proveedores de BPH como CTG Server Limited (AS152194), que anteriormente habían sido denunciados por actividad cibernética maliciosa.
«Los sitios en la capa de evasión, donde los operadores han hecho todo lo posible para ocultar la firma del marco, se ejecutan aproximadamente dos veces más rápido en el alojamiento Bulletproof que en la capa básica», dijo la compañía. La capa básica se refiere a sitios fraudulentos que conservan la huella digital predeterminada del marco DCloud, mientras que la capa de evasión consta de sitios que no conservan la huella digital.
«La interpretación es simple: los operadores que son lo suficientemente sofisticados como para reconocer y eliminar huellas dactilares del marco también son lo suficientemente sofisticados como para buscar proveedores de infraestructura que se resistan a las solicitudes de eliminación. Estos dos comportamientos tienden a ir de la mano. Por el contrario, los operadores más baratos y menos sofisticados, aquellos que descargan plantillas y las implementan listas para usar, son más propensos a utilizar alojamiento convencional, lo que los hace fáciles de identificar y eliminar».
Source link
