AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**La plataforma Lucifer DaaS revoluciona el robo de criptomonedas mediante phishing y automatización**

admin

## Introducción

Durante los últimos meses, el panorama de amenazas dirigido a usuarios de criptomonedas ha experimentado una transformación significativa. Atrás quedan los ataques directos a vulnerabilidades en carteras digitales (wallets). Las nuevas técnicas, impulsadas por plataformas como Lucifer DaaS (Drainer-as-a-Service), demuestran una sofisticación creciente mediante el uso de ingeniería social, automatización y servicios criminales bajo demanda. El reciente informe de Flare desvela cómo Lucifer DaaS está escalando el robo de fondos en criptowallets, marcando un antes y un después en el ecosistema del cibercrimen financiero.

## Contexto del Incidente o Vulnerabilidad

Tradicionalmente, los ataques a criptomonedas se basaban en la explotación de fallos en el software de wallets o la interceptación de claves privadas. Sin embargo, el auge de los drainers modernos, como los ofrecidos por Lucifer DaaS, ha desplazado el foco hacia la manipulación del usuario. El “drainer” ya no busca vulnerar la infraestructura técnica, sino persuadir a la víctima para que, de forma inadvertida, autorice transacciones maliciosas a través de contratos inteligentes manipulados.

El modelo DaaS (Drainer-as-a-Service) permite a ciberdelincuentes sin conocimientos avanzados acceder a herramientas listas para desplegar campañas de robo a gran escala. El caso de Lucifer DaaS, analizado por Flare, revela cómo la automatización y los kits de phishing se han convertido en la principal vía de exfiltración de activos digitales, superando en eficacia a los métodos tradicionales.

## Detalles Técnicos

Lucifer DaaS se comercializa en foros clandestinos y canales privados de Telegram como una solución integral para el robo de fondos de wallets basadas en Ethereum, Binance Smart Chain, Polygon y otras blockchains compatibles con la Web3. A diferencia de los exploits clásicos, los drainers modernos utilizan contratos inteligentes personalizados y scripts automatizados para solicitar a los usuarios permisos de transferencia ilimitada (approve) sobre sus tokens ERC-20.

### Vectores de ataque y TTP

El vector principal es el phishing, apoyado en sitios web fraudulentos que imitan exchanges, airdrops o servicios DeFi legítimos. El usuario, al interactuar con estos portales, conecta su wallet (por ejemplo, MetaMask o Trust Wallet) y recibe una petición de autorización (approve) para un contrato inteligente bajo control del atacante.

En términos de TTP (Tactics, Techniques and Procedures) según el marco MITRE ATT&CK, destacan:

– **TA0006 (Credential Access)**: Ingeniería social para obtener acceso a las wallets.
– **TA0001 (Initial Access)**: Phishing a través de campañas masivas y suplantación de identidad de proyectos conocidos.
– **TA0009 (Collection) / T1566 (Phishing)**: Recopilación de autorizaciones de transacción mediante contratos inteligentes.

### IoC (Indicadores de Compromiso)

– URLs de phishing replicando plataformas DeFi.
– Contratos inteligentes con permisos ‘infinite approve’ a direcciones controladas por el atacante.
– Hashes de scripts JavaScript utilizados para automatizar la interacción con wallets.
– Direcciones de wallets receptoras recurrentes en los vaciados de fondos.

### Exploits y frameworks

Aunque no se han registrado exploits de día cero, es común el uso de frameworks de automatización para la gestión de campañas, como Selenium para la simulación de usuarios y bots de Telegram para distribuir enlaces de phishing. Lucifer DaaS integra paneles de control para monitorizar en tiempo real las transacciones robadas y los balances sustraídos.

## Impacto y Riesgos

El impacto de Lucifer DaaS es notable por la facilidad de escalado del ataque: cualquier actor con acceso al servicio puede lanzar campañas dirigidas a miles de usuarios. Según los datos de Flare, en los últimos seis meses se han sustraído más de 35 millones de dólares en activos digitales mediante drainers, con un crecimiento mensual del 20% en incidentes reportados.

Este enfoque compromete toda wallet que interactúe con contratos inteligentes, especialmente aquellas que no revisan en detalle los permisos concedidos. La automatización reduce el tiempo necesario para vaciar fondos a segundos tras la autorización maliciosa.

## Medidas de Mitigación y Recomendaciones

Las medidas de mitigación deben enfocarse en la concienciación y en el refuerzo de las capas de verificación antes de aprobar permisos en contratos inteligentes:

– Desplegar alertas de seguridad en wallets que adviertan sobre permisos de “infinite approve”.
– Revisar periódicamente los permisos activos usando herramientas como Revoke.cash.
– Implementar políticas de “least privilege” en el uso de smart contracts.
– Monitorización de dominios y direcciones de contratos de alto riesgo.
– Integración de soluciones de Threat Intelligence para detección de campañas de phishing específicas del sector cripto.
– Formación continua a empleados y usuarios sobre los riesgos de interactuar con contratos desconocidos.

## Opinión de Expertos

Expertos en ciberseguridad como David Miralles, analista de amenazas en Flare, advierten: “El auténtico cambio de paradigma reside en la profesionalización del cibercrimen. Plataformas como Lucifer DaaS eliminan barreras técnicas y permiten a cualquier actor ejecutar robos masivos con solo unos clics”. Asimismo, se destaca la necesidad de que los desarrolladores de wallets implementen sistemas de alerta más proactivos y procesos de aprobación más restrictivos.

## Implicaciones para Empresas y Usuarios

Para empresas que gestionan activos digitales, el riesgo se multiplica si los empleados no están debidamente formados o si los procesos de aprobación de transacciones no están auditados. El cumplimiento de normativas como el GDPR y la inminente NIS2 impone la obligación de proteger tanto los activos como los datos personales asociados a las wallets.

Los usuarios finales se enfrentan a una amenaza cada vez más difícil de identificar, por lo que deben extremar la precaución antes de autorizar cualquier transacción o permiso en sus wallets.

## Conclusiones

La aparición de Lucifer DaaS y otros drainers automatizados señala una nueva era en el robo de criptomonedas, donde la ingeniería social y la automatización superan a los ataques técnicos clásicos. La colaboración entre desarrolladores, expertos en ciberseguridad y entidades regulatorias será clave para frenar la expansión de este modelo de cibercrimen como servicio.

(Fuente: www.bleepingcomputer.com)