Sophos descubre nuevas estafas CryptoRom con ChatGPT

Sophos ha emitido hoy nuevos descubrimientos acerca de las estafas CryptoRom, un subconjunto de tácticas fraudulentas conocidas como “pig butchering” (shā zhū pán), diseñadas con el propósito de engañar a los usuarios de aplicaciones de citas, instándolos a realizar inversiones ficticias en criptomonedas, tal y como ha quedado detallado en su reciente informe titulado “Sha Zhu Pan Scam Uses AI Chat Tool to Target iPhone and Android Users“.

Estafadores de CryptoRom con ChatGPT

Desde mayo, el equipo Sophos X-Ops ha venido observando que los perpetradores de CryptoRom han afinado sus enfoques, incluyendo la incorporación de una herramienta de chat con IA, similar a ChatGPT, a su arsenal. Los estafadores también han ampliado su estrategia de persuasión al informar a las víctimas que sus cuentas de criptomonedas han sido comprometidas, exigiendo así más dinero por adelantado. Además, Sophos X-Ops ha identificado que estos estafadores han logrado introducir siete nuevas aplicaciones fraudulentas de inversión en criptomonedas en las tiendas oficiales de Apple App y Google Play.

Sophos X-Ops tomó conocimiento de la utilización de la herramienta de chat con IA, muy probablemente ChatGPT, por parte de los estafadores de CryptoRom cuando una víctima afectada se puso en contacto con su equipo. Tras el primer contacto a través de Tandem, una aplicación para intercambio de idiomas que también ha sido empleada como plataforma de citas, el estafador persuadió a la víctima para trasladar la conversación a WhatsApp. La víctima comenzó a sospechar luego de recibir un extenso mensaje que evidenciaba haber sido redactado en parte por una herramienta de chat con IA que utilizaba modelos de lenguaje de gran envergadura (LLM, por sus siglas en inglés).

En el año 2022, los fraudes de inversión registraron las mayores pérdidas entre todas las estafas reportadas al Centro de Denuncias de Delitos en Internet (IC3) del FBI, sumando un total de 3.310 millones de dólares. Las estafas relacionadas con criptomonedas, incluyendo el engaño “pig butchering”, representaron la mayoría de estas pérdidas, aumentando en un 183 % desde 2021, llegando a 2.570 millones de dólares en pérdidas reportadas el año pasado.

ChatGPT en el centro

Sean Gallagher, Director de Investigación de Amenazas en Sophos, ha manifestado: “Desde el anuncio de OpenAI acerca del lanzamiento de ChatGPT, se ha especulado ampliamente sobre la posibilidad de que actores maliciosos utilicen el programa para sus propósitos ilícitos. Ahora podemos confirmar que, al menos en el caso de las estafas ‘pig butchering’, esta conjetura es cierta. Uno de los mayores desafíos que enfrentan los perpetradores de las estafas CryptoRom es mantener conversaciones con sus objetivos de índole romántica que resulten convincentes y sostenidas; estas conversaciones son en su mayoría redactadas por ‘teclistas’, ubicados principalmente fuera de Asia y confrontados con barreras lingüísticas. La utilización de herramientas como ChatGPT podría representar una forma más efectiva y eficiente para mantener estas interacciones, reduciendo la carga laboral y conferiendo un mayor grado de autenticidad a las estafas. Además, esta herramienta permite que los ‘teclistas’ interactúen simultáneamente con múltiples víctimas”.

Nuevas estafas en tiendas de Apps

Sophos X-Ops también identificó una nueva táctica empleada por los estafadores, orientada a extorsionar dinero adicional. Habitualmente, cuando las víctimas de las estafas CryptoRom intentan retirar sus “ganancias”, los estafadores les comunican que deben abonar un impuesto del 20% sobre sus fondos antes de proceder con el retiro. No obstante, una víctima reciente reveló que, luego de abonar dicho “impuesto” para retirar fondos, los estafadores alegaron que los fondos habían sido “hackeados” y que se requería otro depósito del 20% para recibir los fondos.

Tras llevar a cabo una investigación más exhaustiva, Sophos X-Ops identificó siete aplicaciones falsas de inversión en criptomonedas en las tiendas oficiales de Google Play y Apple App. Estas aplicaciones, además de aumentar el potencial número de víctimas, podrían también fungir como una herramienta adicional en la ejecución del engaño “pig butchering”. Dichas aplicaciones presentan descripciones aparentemente inofensivas en las tiendas de aplicaciones (por ejemplo, BerryX asegura tener relación con la lectura). No obstante, una vez que los usuarios las abren, se encuentran con una interfaz falsa de inversión en criptomonedas.

Con el fin de eludir el proceso de revisión de la App Store de Apple, los desarrolladores de estas aplicaciones emplean la misma técnica reportada por Sophos en febrero de 2023. Presentan la aplicación para su aprobación utilizando contenido web legítimo y corriente. Una vez que se obtiene la aprobación y se publica la aplicación, modifican el servidor que aloja la aplicación, incorporando el código de la interfaz fraudulenta.

Concluiones del Departamente de Amenazas de Sophos

Gallagher ha querido precisar: “Estas nuevas aplicaciones han reciclado las mismas plantillas y descripciones, sugiriendo que el mismo grupo o individuos detrás de las estafas ‘pig butchering’ están involucrados en la creación de este esquema. Antes, los estafadores de CryptoRom tenían que recurrir a soluciones técnicas complicadas para acceder a los usuarios de iOS antes de poder ingresar sus aplicaciones en la Apple Store. Esta acción solía alertar a sus víctimas sobre la situación sospechosa. Ahora, les resulta más sencillo abordar a los usuarios de iPhone, ampliando así su potencial base de víctimas. Estas aplicaciones también son fáciles de reciclar y reutilizar”.

“De hecho, la aplicación BerryX parece estar relacionada con las aplicaciones falsas que descubrimos y bloqueamos a comienzos de este año. A pesar de haber informado a Google y Apple sobre estas nuevas aplicaciones, es probable que surjan más en el futuro. Estos estafadores son inquebrantables. Si bien hoy en día manipulan a las víctimas afirmando que sus cuentas han sido comprometidas para extorsionar más dinero, es plausible que ideen nuevos métodos de extorsión inicial y duplicada. La mejor defensa contra este tipo de extorsión es estar informado acerca de estas campañas. Alentamos a aquellos usuarios que sospechen o crean ser víctimas a que se comuniquen con nosotros”, concluyó Gallagher.