Sophos, líder mundial en innovación y ciberseguridad como servicio, ha publicado hoy nuevos hallazgos sobre las estafas CryptoRom -un subconjunto de esquemas de “pig butchering” (shā zhū pán) diseñados para engañar a los usuarios de aplicaciones de citas para que realicen falsas inversiones en criptomonedas- en su último informe, «Sha Zhu Pan Scam Uses AI Chat Tool to Target iPhone and Android Users«. Desde mayo, Sophos X- Ops ha observado que los estafadores de CryptoRom han perfeccionado sus técnicas, incluyendo una herramienta de chat de IA, como ChatGPT, a su conjunto de herramientas. Los estafadores también ampliaron sus tácticas de coacción diciendo a las víctimas que sus cuentas de criptomonedas fueron hackeadas y que se necesita más dinero por adelantado. Sophos X-Ops descubrió además que los estafadores habían sido capaces de colar 7 nuevas aplicaciones falsas de inversión en criptomonedas en las tiendas oficiales de Apple App y Google Play.
Sophos X-Ops tuvo conocimiento por primera vez de que los estafadores de CryptoRom utilizaban la herramienta de chat de IA -muy probablemente ChatGPT- cuando una víctima estafada se puso en contacto con el equipo. Tras contactar con la víctima a través de Tandem, una aplicación para compartir idiomas que también se ha utilizado como aplicación de citas, el estafador convenció a la víctima para que trasladara su conversación a WhatsApp. La víctima empezó a sospechar tras recibir un largo mensaje que claramente estaba escrito en parte por una herramienta de chat de IA que utilizaba modelos de lenguaje de gran tamaño (LLM, por sus siglas en inglés).
En 2022, los fraudes de inversión causaron las pérdidas más elevadas de todas las estafas denunciadas por el público al Centro de Denuncias de Delitos en Internet (IC3) del FBI, con un total de 3.310 millones de dólares. Los fraudes relacionados con criptomonedas, incluida el fraude “pig butchering”, representaron la mayor parte de estas estafas, aumentando un 183 % desde 2021 hasta los 2.570 millones de dólares en pérdidas notificadas el año pasado.
“Desde que OpenAI anunció el lanzamiento de ChatGPT, se ha especulado ampliamente con la posibilidad de que los ciberdelincuentes utilicen el programa para sus propias actividades maliciosas. Ahora podemos decir que, al menos en el caso de las estafas de “pig butchering”, esto está ocurriendo. Uno de los principales retos para los estafadores con las estafas de CryptoRom es llevar a cabo conversaciones con los objetivos de naturaleza romántica y que sean convincentes y sostenidas; estas conversaciones son escritas en su mayoría por «teclistas», que se encuentran principalmente fuera de Asia y tienen una barrera lingüística. Utilizar algo como ChatGPT puede ser una forma más eficiente y eficaz de mantener la relación, haciendo que las estafas requieran menos trabajo y sean más auténticas. También permite a los teclistas interactuar simultáneamente con varias víctimas a la vez», afirma Sean Gallagher, director de investigación de amenazas de Sophos.
Sophos X-Ops también descubrió una nueva táctica de los estafadores diseñada para extorsionar dinero adicional. Tradicionalmente, cuando las víctimas de estafas CryptoRom intentan cobrar sus «ganancias», los estafadores les dicen que tienen que pagar un impuesto del 20% sobre sus fondos antes de completar cualquier retirada. Sin embargo, una víctima reciente reveló que después de pagar el «impuesto» para retirar dinero, los estafadores dijeron que los fondos habían sido «pirateados» y que necesitarían otro depósito del 20% antes de recibir los fondos.
Tras una investigación más profunda, Sophos X-Ops encontró siete aplicaciones falsas de inversión en criptomonedas en las tiendas oficiales Google Play y Apple App. Estas, además de aumentar el número potencial de víctimas, podrían funcionar como una herramienta más de la estafa “pig butchering”. Estas aplicaciones tienen descripciones aparentemente inofensivas en las tiendas de aplicaciones (BerryX, por ejemplo, afirma estar relacionada con la lectura). Sin embargo, en cuanto los usuarios abren la aplicación, se encuentran con una interfaz falsa de inversión en criptomonedas.
Para saltarse el proceso de revisión de la App Store de Apple, los desarrolladores de aplicaciones utilizan la misma técnica sobre la que Sophos informó por primera vez en febrero de 2023. Presentan la aplicación para su aprobación utilizando contenido web legítimo y corriente. Una vez aprobada y publicada, modifican el servidor que aloja la aplicación con el código de la interfaz fraudulenta.
Estas nuevas aplicaciones reciclaron las mismas plantillas y descripciones, lo que sugiere que el mismo o los mismos anillos de “pig butchering” están creando el esquema.
«Antes de poder introducir sus aplicaciones en la Apple Store, los estafadores de CryptoRom tenían que utilizar una complicada solución técnica para dirigirse a los usuarios de iOS, lo que podía alertar a sus víctimas de que algo iba mal. Ahora les resulta mucho más fácil dirigirse a los usuarios de iPhone, lo que amplía el número de víctimas. Estas aplicaciones también son fáciles de reciclar y reutilizar. De hecho, la aplicación BerryX parece estar relacionada con las aplicaciones falsas que descubrimos y bloqueamos a principios de este año. Aunque hemos alertado a Google y Apple de estas últimas aplicaciones, es probable que aparezcan más. Estos estafadores son implacables. Hoy dicen a las víctimas que sus cuentas han sido pirateadas para extorsionarles más dinero, pero en el futuro es probable que se les ocurran nuevos métodos de extorsión inicial y doble. La mejor defensa contra la extorsión de víctimas es conocer estas campañas. Animamos a los usuarios que sospechen o piensen que pueden haber sido víctimas a que se pongan en contacto con nosotros», afirmó Gallagher.
Obtenga más información sobre las últimas tácticas utilizadas por los estafadores de CryptoRom en «La estafa Sha Zhu Pan utiliza una herramienta de chat con inteligencia artificial para captar a usuarios de iPhone y Android» en Sophos.com.