Hiciste clic en una promoción, vendiste tu casa — el TDS hace que el engaño parezca real
Protagonista: tú. Género: ciberestafa.
En dos nuevas campañas cibernéticas, denominadas Reckless Rabbit y Ruthless Rabbit, los especialistas de Infoblox revelaron los mecanismos mediante los cuales los estafadores atraen a los usuarios a plataformas de inversión falsas, haciéndose pasar por celebridades conocidas y utilizando un sofisticado sistema de filtrado de tráfico.
Las estafas comienzan con anuncios en redes sociales, especialmente en Facebook*, donde se muestran artículos falsos que supuestamente presentan a famosos recomendando invertir en un proyecto financiero. Estos artículos conducen a sitios trampa camuflados como plataformas de intercambio de criptomonedas, donde se invita a los visitantes a completar formularios con datos personales: nombre, teléfono, correo electrónico e incluso una contraseña generada automáticamente. Toda esta información se utiliza en la siguiente etapa: la verificación.
Una vez completado el formulario, se ejecutan una serie de comprobaciones que incluyen el uso de servicios externos como ipinfo[.]io, ipgeolocation[.]io e ipapi[.]co para identificar la dirección IP y excluir regiones no deseadas. También se verifica la validez del número telefónico y del correo electrónico. Solo si los datos pasan estas verificaciones, el usuario es redirigido a través de un sistema de distribución de tráfico (TDS) a la fase final de la estafa: una página que ofrece invertir o recibir una llamada de un supuesto “representante”.
Los anuncios creados por Reckless Rabbit se mezclan con productos comunes de marketplaces —como Amazon— para eludir filtros y moderación automática. Los dominios visibles (como “amazon[.]pl”) difieren de los reales a los que redirigen los enlaces (como “tyxarai[.]org”). Este engaño y confusión son otra forma de ocultar el verdadero propósito del clic.
Para mantener estable su infraestructura, los estafadores usan los llamados RDGA, algoritmos que generan dominios aleatorios. A diferencia de los DGA clásicos, los RDGA registran de inmediato los dominios generados mediante un algoritmo privado. Reckless Rabbit utiliza este método desde abril de 2024, centrando sus ataques en usuarios de Rumanía y Polonia, y excluyendo tráfico de países como Afganistán, Somalia, Liberia y Madagascar.
Según Infoblox, el grupo Ruthless Rabbit opera desde noviembre de 2022 y también se enfoca en usuarios de Europa del Este. Sin embargo, a diferencia de Reckless Rabbit, utiliza su propio sistema de validación —el servicio de ocultación mcraftdb[.]tech—, lo que hace su estructura aún más cerrada y resistente a la supervisión externa.
El objetivo del uso del TDS en ambas campañas es ocultar el contenido malicioso de los sistemas de seguridad y bots. Esto hace que el esquema sea menos detectable y a la vez más efectivo, ya que solo las “víctimas adecuadas” acceden a las páginas fraudulentas finales. La infraestructura y los métodos de Reckless Rabbit y Ruthless Rabbit demuestran lo lucrativo que sigue siendo el fraude de inversiones falsas. Los especialistas de Infoblox advierten que estas amenazas solo aumentarán —tanto en volumen como en sofisticación tecnológica.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!