La fama arruina a los traders de criptomonedas más que el mercado bajista. Podcasts falsos: la nueva arma de los hackers

Una campaña de phishing dirigida a representantes de la criptoindustria atrajo la atención después de que el investigador José A. Gómez Ledesma del equipo Quetzal informara sobre una serie de ataques que se hacían pasar por invitaciones a entrevistas en el popular podcast Empire. Los estafadores crean la impresión de un contacto real con los presentadores del programa, se acercan a posibles víctimas a través de redes sociales y les ofrecen discutir su participación en el programa. Para realizar la entrevista supuestamente usan las plataformas Streamyard o Huddle, pero en realidad redirigen a los interlocutores a sitios falsos que imitan la interfaz de esos servicios.

Al intentar conectarse a ese recurso, al usuario se le muestra un mensaje de error —supuestamente el navegador no es compatible o la conexión es imposible— y se le propone descargar una aplicación cliente especial. En realidad la víctima descarga un archivo DMG que se presenta como Streamyard o Huddle, pero que en realidad es una cobertura para el malware AMOS Stealer, creado específicamente para ataques contra dispositivos con macOS.

Tras la instalación, el archivo DMG inicia una cadena de comandos que incluye una decodificación compleja del contenido. Dentro de la imagen se encuentra un script Bash ofuscado, cifrado en Base64, que luego pasa por una etapa de descifrado XOR mediante Perl y de nuevo se decodifica desde Base64. Como resultado de estas operaciones se crea y ejecuta un AppleScript cuya tarea es localizar un ejecutable oculto dentro del volumen montado. Los nombres de los volúmenes — .Huddle o .Streamyard — con un punto al principio indican su carácter oculto en el entorno Unix. Es en esos archivos donde se encuentra el componente malicioso AMOS Stealer.

Este stealer es utilizado activamente por los atacantes para robar diversa información confidencial —desde contraseñas y sesiones de navegador hasta datos de aplicaciones bancarias y carteras de criptomonedas—. Tras la infección, esos artefactos con frecuencia se venden en foros de la darknet, a veces por un precio inferior al de una comida. AMOS ya se había detectado en ataques similares, incluidas campañas que empleaban software falso como DeepSeek, y es conocido por su camuflaje multiplataforma haciéndose pasar por aplicaciones confiables.

Una nueva ola de ataques que usan invitaciones falsas a podcast continúa la serie de esquemas sofisticados dirigidos a la comunidad cripto. Hace solo unas semanas, en una operación similar los atacantes se hicieron pasar por periodistas de CoinMarketCap para contactar a altos directivos del sector. Los enfoques actuales son cada vez más dirigidos: las páginas falsificadas copian con gran precisión las interfaces de plataformas populares, y la comunicación en redes sociales está diseñada para generar confianza. La víctima recibe un mensaje personalizado, una propuesta de entrevista y un enlace "oficial" —todo parece realista hasta el momento en que se descarga el archivo malicioso.

Hasta el momento se han identificado y publicado hashes de varias imágenes que distribuían AMOS: entre ellas archivos con nombres Huddle.Iwv y Streamyard.ZTz, así como dominios señuelo como streamyard.ai y huddle01.com. El informe de Quetzal también incluye indicadores técnicos de compromiso, incluyendo las sumas SHA256 de todos los archivos maliciosos conocidos usados en esta cadena de infección.

La suplantación del podcast Empire y la copia de las interfaces de Streamyard y Huddle hacen que el ataque sea especialmente convincente: las víctimas se topan con la falsificación en cada etapa, desde la comunicación en redes sociales hasta la instalación real del programa. A pesar de que el malware se propaga solo en macOS, esta plataforma sigue siendo la más popular entre desarrolladores y traders de Web3, lo que hace la campaña especialmente efectiva.