### Ciberdelincuentes utilizan comentarios de Pastebin para secuestrar transacciones de Bitcoin mediante ataques ClickFix

#### Introducción

En las últimas semanas, investigadores de ciberseguridad han detectado una nueva campaña maliciosa dirigida a usuarios de criptomonedas, particularmente a aquellos que operan con Bitcoin. Los atacantes están empleando comentarios en la popular plataforma Pastebin para distribuir código JavaScript malicioso, siguiendo un patrón similar al conocido como “ClickFix”. Esta táctica permite a los actores de amenazas interceptar y secuestrar transacciones de Bitcoin, manipulando de forma transparente las direcciones de destino y desviando fondos a monederos bajo su control.

#### Contexto del Incidente

Pastebin ha sido históricamente un servicio empleado tanto por profesionales de TI como por ciberdelincuentes para compartir fragmentos de código y datos. Sin embargo, la novedad en esta campaña radica en el uso de la funcionalidad de comentarios para diseminar scripts maliciosos, lo que dificulta la detección y el bloqueo por parte de soluciones de seguridad tradicionales. Los ataques de tipo ClickFix, previamente limitados a foros y plataformas de intercambio de código, han evolucionado ahora para aprovechar el vector de Pastebin, afectando principalmente a usuarios que buscan soluciones rápidas para resolver problemas relacionados con monederos de criptomonedas.

#### Detalles Técnicos

La campaña, detectada a finales de mayo de 2024, hace uso de JavaScript alojado en comentarios de Pastebin. El proceso de infección sigue el siguiente flujo:

1. **Vector de Ataque:** El usuario, habitualmente buscando información sobre errores en transacciones de Bitcoin, encuentra un hilo o comentario en Pastebin que aparenta ofrecer un “fix” o solución rápida.
2. **Ingeniería Social:** El comentario incluye instrucciones para copiar y pegar un fragmento de JavaScript en la consola de su navegador, un comportamiento que imita a los ataques ClickFix previos.
3. **Carga Útil (Payload):** Una vez ejecutado el código, se establece un “hook” en la función de copia de direcciones de monedero en las páginas de intercambio o wallets web. El código sustituye automáticamente la dirección de destino legítima por una controlada por el atacante al realizar una transacción.
4. **TTPs MITRE ATT&CK:** Las técnicas identificadas en este ataque corresponden principalmente a:
– **T1204.002 – User Execution: Malicious Script**
– **T1566 – Phishing**
– **T1556 – Modify Authentication Process**
5. **Indicadores de Compromiso (IoC):**
– URLs de Pastebin con patrones de comentarios inusuales.
– Fragmentos de JavaScript que manipulan el portapapeles o eventos de formularios en páginas de criptomonedas.
– Direcciones de Bitcoin asociadas a patrones de scam, verificadas en listas negras de la comunidad.

No se ha publicado aún un CVE específico para este ataque, ya que explota la confianza del usuario y no una vulnerabilidad técnica en el software de los monederos.

#### Impacto y Riesgos

Según estimaciones de BleepingComputer, más de un 3% de las transacciones de Bitcoin reportadas en foros afectados han sido manipuladas por este método en las últimas dos semanas, con pérdidas individuales que superan los 5.000 euros en algunos casos. Se han identificado al menos una docena de direcciones de Bitcoin utilizadas para la recepción fraudulenta de fondos, acumulando en total más de 1,2 BTC (aproximadamente 74.000 euros al cambio actual). El impacto es especialmente grave para usuarios minoristas y pequeñas empresas, que carecen de controles avanzados o capacitación en ciberseguridad.

#### Medidas de Mitigación y Recomendaciones

1. **Educación y Concienciación:** Capacitar a los usuarios para no ejecutar nunca scripts de fuentes no verificadas, especialmente desde foros o plataformas públicas como Pastebin.
2. **Bloqueo Proactivo:** Implementar políticas de seguridad en navegadores corporativos para impedir la ejecución de scripts pegados manualmente en la consola.
3. **Revisión de Logs:** Monitorizar logs de acceso y eventos anómalos en plataformas de intercambio y monederos web.
4. **Listas Negras Actualizadas:** Bloquear IPs y URLs de Pastebin asociadas a campañas maliciosas, y monitorizar direcciones de Bitcoin utilizadas en scams.
5. **Herramientas de Detección:** Utilizar extensiones de navegador o soluciones EDR capaces de detectar y bloquear manipulaciones del portapapeles o cambios en el DOM de páginas críticas.

#### Opinión de Expertos

Analistas de amenazas del sector, como los equipos de respuesta de incidentes de Kaspersky y Group-IB, advierten que este tipo de ataque representa una evolución peligrosa de los clásicos fraudes de “clipboard hijacking”. La facilidad de acceso a plataformas como Pastebin y la falta de controles sobre los comentarios facilitan la proliferación de campañas masivas. Además, expertos remarcan que la tendencia de los usuarios a buscar soluciones rápidas y poco seguras en foros públicos es un vector de riesgo creciente.

#### Implicaciones para Empresas y Usuarios

Las empresas del sector de las criptomonedas deben reforzar sus campañas de concienciación y revisar los flujos de interacción con el usuario, minimizando las instrucciones que puedan llevar a la ejecución manual de código en navegadores. Para cumplir con normativas como el GDPR y NIS2, es imprescindible documentar y reportar cualquier incidente de este tipo que afecte a datos personales o fondos de clientes. Los usuarios particulares, por su parte, deben adoptar una postura de desconfianza activa frente a soluciones técnicas ofrecidas en plataformas no oficiales.

#### Conclusiones

El abuso de los comentarios de Pastebin para distribuir ataques ClickFix marca una nueva fase en la sofisticación de los fraudes dirigidos a usuarios de criptomonedas. La combinación de ingeniería social y scripts maliciosos ejecutados en el navegador representa una amenaza relevante que requiere medidas proactivas tanto en la protección técnica como en la formación de los usuarios. La vigilancia constante y la colaboración entre equipos de seguridad y plataformas afectadas serán claves para mitigar el alcance de estos ataques.

(Fuente: www.bleepingcomputer.com)