Estafadores usan Inferno Drainer para robar $43,000 a usuarios de CoinMarketCap

Una operación coordinada de robo de criptomonedas dirigida a usuarios de CoinMarketCap ha sido expuesta tras la filtración de imágenes de un canal de Telegram conocido como TheCommsLeaks. El ataque utilizó un mensaje convincente de conexión de billetera integrado en la propia interfaz de CoinMarketCap, engañando a los usuarios para que accedieran a sus billeteras. ¿El resultado? Más de $43,000 en criptomonedas se perdieron en cuestión de horas.

Según Tammy H, investigadora sénior de inteligencia de amenazas e investigadora certificada de la Dark Web en Flare.io, una empresa de inteligencia de delitos cibernéticos con sede en Canadá, el ataque se llevó a cabo utilizando Inferno Drainer , un conocido kit de herramientas de vaciado de billeteras que se ha vinculado a campañas anteriores.

El método era sencillo pero eficaz. A los usuarios que visitaban CoinMarketCap se les presentaba un mensaje que les pedía "Verificar su Monedero" para acceder a las funciones. Era idéntico a las ventanas emergentes legítimas que se veían en la plataforma, lo que no daba motivos para dudar. Sin embargo, una vez conectados, los monederos se vaciaban silenciosamente de todos los activos que contenían.

Una fuente citada en la filtración afirmó que el mensaje aparecía en casi todas las páginas del sitio. "Que aparezca en todas las páginas", decía un mensaje. "A la mayoría de la gente le fijan monedas... en cuanto abren el sitio".

El atacante parecía centrado en aumentar la visibilidad y maximizar las conexiones de la billetera. Algunos informes sugieren que incluso el botón de conexión comenzó a fallar debido a que se mostraba demasiadas veces.

Según el análisis de Tommy H, el canal de Telegram TheCommsLeaks comenzó a compartir detalles alrededor de las 19:30 hora local del 20 de junio. Los mensajes incluían capturas de pantalla que mostraban un panel en vivo utilizado por el atacante. Estas imágenes mostraban las conexiones de la billetera, las transferencias de tokens y el valor total drenado en tiempo real.

Las primeras cifras mostraron 67 hits exitosos y más de 1300 conexiones de billetera. El pago ya superó los $21,000 en la primera ola. Al finalizar la campaña, el botín final había ascendido a $43,266, obtenidos de 110 víctimas.

Los tokens sustraídos incluían SOL, XRP, EVT y monedas más pequeñas como PENGU y SHDW. Una transacción de $1,769 en XRP estaba vinculada a una billetera visible en BscScan, lo que confirmaba públicamente el robo.

Sin embargo, el investigador observó que no todos los intentos tuvieron éxito. Los registros del kit de herramientas del atacante también mostraron múltiples vaciados fallidos, generalmente debido a que las billeteras contenían tokens no admitidos o saldos insignificantes.

Tras la creciente especulación sobre si el ataque provenía de un dominio falso, CoinMarketCap abordó el problema directamente. En un comunicado publicado en X, la compañía afirmó que una imagen de doodle en su página de inicio había activado código malicioso mediante una llamada a la API integrada. Esta vulnerabilidad provocó que apareciera el aviso de billetera no autorizada para algunos usuarios.

La empresa confirmó que su equipo de seguridad respondió de inmediato tras detectar el problema. Se eliminó el contenido malicioso y se instalaron parches en los sistemas internos para evitar nuevos abusos.

“Todos los sistemas están ahora completamente operativos y CoinMarketCap es seguro para todos los usuarios”, afirmó la compañía, añadiendo que continúa monitoreando la situación y brindando apoyo.

Este incidente demuestra cómo pequeños cambios en la interfaz, incluso aquellos que involucran algo tan inofensivo como un doodle en la página de inicio, pueden aprovecharse para causar daños a gran escala. Si bien el uso del entorno propio de una plataforma legítima para desplegar mensajes maliciosos es sumamente preocupante, refleja la facilidad con la que se puede abusar de la confianza en interfaces conocidas.

En un incidente separado , reportado por Hackread la semana pasada, estafadores explotaron anuncios de búsqueda para engañar a los usuarios y hacer que llamaran a números de soporte falsos que aparecían en sitios web reales como Apple y PayPal. Aunque técnicamente no están relacionados, ambos casos muestran cómo los atacantes se basan en las suposiciones de los usuarios sobre qué es seguro interactuar en línea.

Por ahora, se recomienda a los usuarios evitar conectar billeteras directamente a través de ventanas emergentes y verificar cualquier aviso con las instrucciones oficiales de la plataforma. Si algo les resulta familiar, no siempre significa que sea seguro.