Ciberataques a la industria cripto: extensión de Chrome comprometida y tácticas de ingeniería social
La industria de las criptomonedas y las finanzas descentralizadas (DeFi) continúa siendo un objetivo prioritario para los actores de amenazas, particularmente para el grupo UNC1069, de origen norcoreano. Recientemente, se ha detectado una intrusión dirigida a una entidad FinTech del sector, revelando el despliegue de siete familias de malware únicas, incluyendo nuevas herramientas diseñadas para capturar datos del host y de las víctimas: SILENCELIFT, DEEPBREATH y CHROMEPUSH.
La intrusión se basó en una sofisticada campaña de ingeniería social que involucró la suplantación de identidad a través de una cuenta de Telegram comprometida, una falsa reunión en Zoom y la explotación de la vulnerabilidad ClickFix. Además, se ha reportado el uso de videos generados por inteligencia artificial (IA) para engañar a la víctima, lo que demuestra una evolución en las tácticas de estos actores, quienes ahora utilizan la IA no solo para tareas de productividad, sino también para crear señuelos más convincentes.
La cantidad de herramientas de malware desplegadas en un solo host indica un esfuerzo determinado para obtener credenciales, datos del navegador y tokens de sesión con el fin de facilitar el robo financiero. Si bien UNC1069 suele dirigirse a startups de criptomonedas, desarrolladores de software y empresas de capital de riesgo, el despliegue de múltiples familias de malware, junto con el conocido descargador SUGARLOADER, marca una expansión significativa en sus capacidades.
En otro incidente reciente, una extensión de Chrome previamente confiable, QuickLens – Search Screen with Google Lens, fue secuestrada para eliminar las protecciones del navegador, desplegar el malware ClickFix y robar criptomonedas y datos de los usuarios. La extensión, que contaba con aproximadamente 7,000 usuarios y ostentaba una insignia destacada en la Chrome Web Store, fue actualizada maliciosamente el 17 de febrero de 2026, tras un cambio de propiedad reportado en febrero.
Esta actualización introdujo nuevos permisos, incluyendo declarativeNetRequestWithHostAccess y webRequest, que otorgaron un control más profundo sobre la actividad de navegación y las solicitudes de red. También incluyó una configuración rules.json que eliminó encabezados de seguridad clave del navegador – como Content-Security-Policy (CSP), X-Frame-Options y X-XSS-Protection – de todas las páginas visitadas, exponiendo a los usuarios a diversas amenazas, como el clickjacking.
Los atacantes también han estado utilizando tácticas de suplantación de identidad, haciéndose pasar por capitalistas de riesgo para dirigirse a especialistas en criptomonedas y explotar la vulnerabilidad ClickFix.
