«Gratis» TradingView Premium con estilizador, récord de ataque DDoS a Cloudflare y otros eventos de ciberseguridad

# «Gratis» TradingView Premium con estilizador, récord de Ataque DDoS en Cloudflare y otros eventos de ciberseguridad

Hemos recopilado las noticias más importantes del mundo de la ciberseguridad de la semana.

• Los hackers ocultaron un stealer en un falso TradingView Premium.
• Los expertos han encontrado un estilador peligroso para los usuarios de criptomonedas.
• Los extorsionistas amenazaron con filtrar las obras de arte a los modelos de IA.
• Se encontró una vulnerabilidad en la gestión de robots chinos.

Los hackers escondieron un stealer en un falso TradingView Premium

Los ciberdelincuentes difundieron publicidad falsa sobre la instalación gratuita de TradingView Premium para descargar malware en el Android de las víctimas. Así lo informaron los investigadores de Bitdefender.

El software Brokewell apareció a principios de 2024. Tiene una amplia gama de capacidades, incluyendo el robo de datos confidenciales, monitoreo remoto y control del dispositivo infectado.

Según los investigadores, los objetivos de la campaña eran los usuarios de criptomonedas. Ha estado activa desde al menos el 22 de julio, utilizando alrededor de 75 anuncios localizados para el segmento ru.

Ejemplo de publicidad de los atacantes. Fuente: Bitdefender. Cuando la víctima hacía clic en el enlace, era redirigida a un sitio que se hacía pasar por el original de TradingView, donde se ofrecía un archivo malicioso tw-update.apk. Tras la instalación, la aplicación solicitaba acceso a las funciones de accesibilidad. En caso de aceptar, abría una supuesta ventana de actualización del sistema. Mientras tanto, el infostealer otorgaba todos los permisos necesarios.

Además, los delincuentes intentaron obtener el PIN de bloqueo de pantalla del smartphone, simulando una solicitud del sistema Android.

Se solicita ingresar el PIN de la pantalla de bloqueo del smartphone contra malware. Fuente: Bitdefender. Los expertos señalaron que el esquema estaba dirigido exclusivamente a usuarios móviles: al acceder desde otro dispositivo, se mostraba contenido inofensivo.

Según Bitdefender, la aplicación falsa es una "versión ampliada del malware Brokewell" y cuenta con las siguientes funciones:

• escanea BTC, ETH, USDT y datos bancarios IBAN;
• roba y exporta códigos de Google Authenticator;
• captura cuentas a través de pantallas de inicio de sesión falsas;
• graba la pantalla y las pulsaciones de teclas, roba cookies, activa la cámara y el micrófono, rastrea la geolocalización;
• intercepta SMS, incluyendo códigos bancarios y 2FA, reemplazando el programa estándar de mensajería;
• puede recibir comandos remotos a través de Tor o WebSockets para enviar SMS, realizar llamadas, eliminar software o incluso autodestruirse.

Los expertos han encontrado un estilista peligroso para los usuarios de criptomonedas

Investigadores de F6 informaron sobre el esquema malicioso Phantom Papa encontrado en junio. Los delincuentes enviaban correos en ruso e inglés con archivos adjuntos que contenían el ladrón de información Phantom.

El software CaaS basado en el código de Stealerium permite a los operadores robar contraseñas, información bancaria y de criptomonedas, así como el contenido de navegadores y mensajeros.

Los destinatarios de los correos electrónicos maliciosos que contenían un stealer fueron organizaciones de diversos sectores de la economía: retail, industria, construcción, TI.

El informe destaca la elección de los delincuentes de correos electrónicos falsos con temas de carácter sexual como 'See My Nude Pictures and Videos'. También se encontraron clásicos trucos de phishing como 'Copia adjunta del pago nº 06162025'.

Fragmento de un correo electrónico de phishing de los delincuentes con la oferta de descargar un archivo. Fuente: F6.Al descomprimir y ejecutar los archivos con extensión .img y .iso incluidos en el archivo RAR del correo, se infiltraba malware en el dispositivo. Después de ejecutarse en la máquina de la víctima, Phantom recopilaba información detallada sobre el hardware y las configuraciones del sistema, así como robaba cookies, contraseñas, datos de tarjetas bancarias del navegador, imágenes y documentos. Toda la información recopilada era obtenida por los delincuentes a través de bots de Telegram como papaobilogs.

Otra amenaza para los propietarios de criptomonedas es el módulo Clipper. En un ciclo infinito con un intervalo de 2 segundos, extraía el contenido del portapapeles. Si cambiaba, el malware lo guardaba en un archivo. Luego escaneaba la ventana activa en busca de palabras relacionadas con servicios de criptomonedas: "bitcoin", "monero", "crypto", "trading", "wallet", "coinbase".

En caso de detección, comenzaba la fase de búsqueda en el portapapeles de billeteras criptográficas por fragmentos de direcciones populares. Al encontrar, el software reemplazaba las billeteras del usuario por direcciones preestablecidas de los delincuentes.

También Phantom tiene un módulo PornDetector. Es capaz de monitorear la actividad del usuario y, en caso de encontrar una de las cadenas «porn», «sex», «hentai», crear una captura de pantalla en un archivo. Si después de eso la ventana sigue activa, el módulo toma una foto con la cámara web.

Los extorsionistas amenazaron con filtrarse a los modelos de arte de IA

El 30 de agosto, se informó que supuestos extorsionadores de LunaLock publicaron en la página del servicio para artistas Artists&Clients información sobre una violación de seguridad. Esto lo reporta 404 Media.

Los delincuentes exigieron a los propietarios del mercado de arte un rescate de $50,000 en bitcoin o Monero. De lo contrario, prometieron publicar todos los datos y entregar las obras de arte a las empresas de IA para el entrenamiento de modelos LLM.

En el sitio se colocó un temporizador de cuenta regresiva, que daba a los propietarios varios días para reunir la cantidad necesaria. En el momento de escribir, el recurso no está funcionando.

«Es el primer caso en el que veo que los delincuentes utilizan la amenaza del entrenamiento de modelos de IA como un elemento de su táctica de extorsión», comentó la analista senior de ciberamenazas de Flare, Tammy Harper, en un comentario para 404 Media.

Ella añadió que tales acciones pueden resultar efectivas contra los artistas debido al tema sensible.

Se encontró una vulnerabilidad en la gestión de robots chinos

El 29 de agosto, un especialista en ciberseguridad con el apodo de BobDaHacker descubrió problemas en la protección de un importante proveedor mundial de robots comerciales. La vulnerabilidad permitía a las máquinas obedecer comandos arbitrarios.

Pudu Robotics — fabricante chino de robots para llevar a cabo una amplia gama de tareas en la producción y en espacios públicos

BobDaHacker descubrió que el acceso administrativo al software de gestión de robots no estaba bloqueado. Según él, para el ataque, el delincuente solo necesita obtener un token de autorización válido o crear una cuenta de prueba que está destinada a pruebas antes de la compra.

Después de completar la autenticación inicial, no hubo verificaciones de seguridad adicionales. El atacante podía redirigir la entrega de comida o desactivar toda la flota de robots de restaurantes. Esto permitía a cualquier persona hacer cambios significativos: por ejemplo, renombrar robots para dificultar la recuperación.

Cloudflare soportó un récord de Ataque DDoS

Cloudflare bloqueó el mayor ataque DDoS jamás registrado, cuyo pico de potencia alcanzó 11,5 Tbps. Así lo informó el proveedor de servicios de red el 1 de septiembre.

Las defensas de Cloudflare han estado trabajando a toda máquina. En las últimas semanas, hemos bloqueado de forma autónoma cientos de ataques DDoS hipervolumétricos, siendo el más grande de 5.1 Bpps y 11.5 Tbps. El ataque de 11.5 Tbps fue una inundación UDP que principalmente provino de Google Cloud.… pic.twitter.com/3rOys7cfGS

— Cloudflare (@Cloudflare) 1 de septiembre de 2025

«Los sistemas de protección de Cloudflare están funcionando en modo reforzado. En las últimas semanas, hemos bloqueado cientos de potentes Ataques DDoS en modo autónomo, siendo el más grande de ellos alcanzando un pico de 5,1 mil millones de paquetes por segundo y 11,5 Tbit/s», declaró la empresa.

El récord de ataque DDoS duró aproximadamente 35 segundos y fue una combinación de varios dispositivos IoT y proveedores de nube.

También en ForkLog:

• Grokking. El chatbot Grok ha sido enseñado a publicar enlaces de estafa.
• Una computadora cuántica hackeó una clave criptográfica "pequeña".
• En EE. UU. se propuso un plan para proteger los activos de las amenazas cuánticas.
• Los hackers ocultaron enlaces maliciosos en contratos inteligentes.
• El usuario Venus perdió $27 millones debido al phishing.
• El libro de psicología ayudó a "hackear" ChatGPT.
• Los hackers robaron tokens WLFI utilizando carteras inteligentes.
• Las pérdidas por hacks de proyectos criptográficos en agosto alcanzaron $163 millones.
• Binance ayudó a congelar activos de estafadores por $47 millones.
• El Salvador protegió sus 6284 BTC de la amenaza cuántica.

¿Qué leer el fin de semana?

ForkLog, en el marco del boletín mensual FLMonthly, habló con el criptopunk Anton Nesterov sobre las principales amenazas a la privacidad y las formas de enfrentarlas.