Sophos publicó nuevos hallazgos sobre estafas de CryptoRom. Un subconjunto de esquemas de pig butchering (shā zhū pán) diseñados para engañar a los usuarios de aplicaciones de citas. En hacer inversiones en monedas digitales falsas, en su último informe. «Sha Zhu Pan Scam usa la herramienta de chat AI para dirigirse a los usuarios de iPhone y Android«.
Desde mayo, Sophos X-Ops ha observado que los estafadores de CryptoRom refinan sus técnicas. Incluida la adición de una herramienta de chat de IA, como ChatGPT, a su conjunto de herramientas. Los estafadores también ampliaron sus tácticas de coerción al decirles a las víctimas que sus cuentas criptográficas fueron pirateadas y que se necesita más dinero por adelantado.
Siete nuevas aplicaciones
Sophos X-Ops también descubrió que los estafadores podían infiltrar siete nuevas aplicaciones falsas de inversión en las tiendas oficiales de aplicaciones de Apple y Google Play. Lo que aumentaba el potencial para las víctimas.
En 2022, el fraude de inversiones causó las pérdidas más altas de todas las estafas denunciadas por el público al Centro de Quejas de Delitos en Internet (IC3) del FBI, por un total de $3310 millones. Los fraudes que involucran monedas digitales. Incluido el pig butchering, representaron la mayoría de estas estafas, aumentando un 183% desde 2021 a $2.570 millones en pérdidas reportadas el año pasado.
Sophos X-Ops se enteró por primera vez de los estafadores de CryptoRom que usaban la herramienta de chat de IA. Muy probablemente ChatGPT, cuando una víctima estafada se acercó al equipo. Después de contactar a la víctima en Tandem, una aplicación para compartir idiomas que también se ha utilizado como aplicación de citas. El estafador convenció a la víctima para que pasara su conversación a WhatsApp. La víctima comenzó a sospechar después de recibir un mensaje extenso que claramente fue escrito en parte por una herramienta de chat de IA que utiliza un modelo de lenguaje grande (LLM).
Una captura de pantalla que muestra cómo el estafador usó IA basada en un modelo de lenguaje grande en las respuestas de chat.
ChatGPT
“Desde que OpenAI anunció el lanzamiento de ChatGPT, ha habido una amplia especulación de que los ciberdelincuentes pueden usar el programa para sus propias actividades maliciosas. Ahora podemos decir que, al menos en el caso de las estafas de pig butchering, esto está sucediendo. Uno de los principales desafíos para los estafadores con estafas de CryptoRom es llevar a cabo conversaciones convincentes y sostenidas de naturaleza romántica con los objetivos; estas conversaciones están escritas en su mayoría por «teclistas», que se encuentran principalmente en Asia y tienen una barrera del idioma. Usar algo como ChatGPT puede ser una forma más eficiente y efectiva de mantener estas conversaciones, haciendo que las estafas sean menos laboriosas y más auténticas. También permite a los teclistas interactuar simultáneamente con múltiples víctimas al mismo tiempo”, dijo Sean Gallagher, investigador principal de amenazas de Sophos.
Sophos X-Ops también descubrió una nueva táctica de estafa diseñada para obtener dinero adicional. Tradicionalmente, cuando las víctimas de estafas de CryptoRom intentan sacar provecho de sus «ganancias», los estafadores les dirán que deben pagar un impuesto del 20% sobre sus fondos antes de completar cualquier retiro. Sin embargo, una víctima reciente reveló que después de pagar el «impuesto» para retirar dinero, los estafadores dijeron que los fondos habían sido «pirateados» y que necesitarían otro depósito del 20% antes de recibir los fondos.
Sophos X-Ops
Luego de una mayor investigación, Sophos X-Ops encontró siete aplicaciones falsas de inversión en las tiendas oficiales de Google Play y Apple App. Estas aplicaciones tienen descripciones aparentemente benignas en las tiendas de aplicaciones (BerryX, por ejemplo, afirma estar relacionado con la lectura). Sin embargo, tan pronto como los usuarios abren la aplicación, se encuentran con una interfaz falsa de intercambio de monedas virtuales.
Para superar el proceso de revisión de la tienda de aplicaciones de Apple, los desarrolladores de la aplicación utilizan la misma técnica que Sophos informó por primera vez en febrero de 2023. Presentan la aplicación para su aprobación utilizando contenido web legítimo y común. Luego, una vez que la aplicación ha sido aprobada y publicada, modifican el servidor que aloja la aplicación con código para la interfaz fraudulenta.
Muchas de estas siete nuevas aplicaciones reciclaron las mismas plantillas y descripciones, lo que sugiere que las mismas de uno o dos pig butchering están creando el esquema.
“Antes de poder introducir sus aplicaciones en Apple Store, los estafadores de CryptoRom tenían que usar una solución técnica incómoda para atacar a los usuarios de iOS, lo que podría alertar a sus víctimas de que algo andaba mal. Ahora, es mucho más fácil para ellos dirigirse a los usuarios de iPhone, ampliando su grupo de víctimas. Estas aplicaciones también son fáciles de reciclar y reutilizar. De hecho, la aplicación BerryX parece estar relacionada con las aplicaciones falsas que descubrimos y bloqueamos a principios de este año. Si bien hemos alertado a Google y Apple sobre estas últimas aplicaciones, es probable que aparezcan más. Estos estafadores son despiadados. Hoy, les dicen a las víctimas que sus cuentas han sido pirateadas para extorsionar más dinero, pero en el futuro, es probable que piensen en nuevos métodos de extorsión inicial y doble. La mejor defensa contra el pig butchering es el conocimiento de estas campañas. Alentamos a los usuarios que sospechan o creen que pueden haber sido víctimas a que se comuniquen con nosotros”, dijo Gallagher.