# Labubu-caza de criptousuarios, torrents peligrosos con películas y otros eventos de ciberseguridad
Hemos recopilado las noticias más importantes del mundo de la ciberseguridad de la semana.
«Envenenamiento» de la dirección crypto por $1,6 millones.
Los fanáticos de Labubu han perdido activos digitales.
Los torrents con películas roban criptomonedas.
Los hackers abrieron las compuertas de la represa noruega.
«Envenenamiento» de la dirección criptográfica por $1,6 millones
Según una publicación del equipo de lucha contra el fraude ScamSniffer, el 15 de agosto, un usuario perdió 140 ETH (~$636 500 en el momento de escribir, al copiar una dirección incorrecta de su historial de transferencias de criptomonedas "infectado".
🚨💔 Hace 1 hora, una víctima perdió 140 ETH )$636,559( después de copiar la dirección incorrecta del historial de transferencias contaminado. pic.twitter.com/iFuzpjup98
— Scam Sniffer | Web3 Anti-Scam )@realScamSniffer( 15 de agosto de 2025
"El envenenamiento" de direcciones criptográficas se basa en la creación de direcciones prácticamente idénticas. Los delincuentes envían pequeñas transacciones desde billeteras que se parecen a las reales, para engañar a los usuarios y hacer que copien la incorrecta en futuras transferencias.
Según Cointelegraph, el 10 de agosto, una víctima de un ataque similar perdió $880 000. Otros informes, como señala la prensa, indican dos casos más: el primero, una pérdida de $80 000, y el segundo, $62 000. En cinco días, los estafadores lograron robar más de $1,6 millones utilizando este método.
Según ScamSniffer, además de las pérdidas por "envenenamiento de direcciones", esta semana se han perdido al menos $600 000 debido a la firma de solicitudes de phishing maliciosas como approve ), increaseAllowance ( y permit ).
🚨 Hace 11 horas, un usuario de Aave perdió $343,389 en aEthWETH después de firmar una firma de phishing "permit" maliciosa.💸 pic.twitter.com/Og097nUtrj
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 10 de agosto de 2025
El 12 de agosto, como resultado de tales acciones, el usuario perdió tokens BLOCK y DOLO por un valor de $165 000.
Los fanáticos de Labubu se quedaron sin criptomoneda
El 11 de agosto, los analistas de F6 descubrieron un esquema de robo de criptomonedas a los residentes de la Federación Rusa, informa RBK.
A través de un falso mercado de la popular juguete Labubu, los estafadores ofrecían criptomonedas gratuitas con el mismo nombre. Para participar en la falsa promoción, se pedía a los usuarios que conectaran su billetera criptográfica.
Después de su activación, el sitio de los delincuentes solicitaba acceso a la información sobre el saldo y el historial de transacciones de criptomonedas. En caso de que hubiera activos, la interfaz pedía un permiso adicional para verificar la participación en el "airdrop". Luego, el malware transfería los fondos de la víctima a las direcciones de los estafadores.
Para ahorrar sus recursos, los hackers rastreaban las billeteras: si estaban vacías, se negaba al usuario la participación.
Anteriormente, los estafadores usaban la marca Labubu para robar cuentas de Telegram. Los delincuentes creaban bots donde supuestamente se podía ganar un juguete o recibirlo a cambio de una reseña. Como resultado, la víctima compartía su contacto e introducía el código recibido del mensajero, después de lo cual perdía el acceso a la cuenta.
Los torrents de películas roban criptomonedas
Los empleados de «Laboratorio Kaspersky» han registrado una ola de robos mediante el reemplazo de criptobolsas. El troyano Efimer se propaga a través de sitios de WordPress hackeados, torrents y correos electrónicos. Además, el malware recopila las credenciales de los recursos hackeados para el posterior envío de spam.
Según los expertos, para atacar a personas privadas, los delincuentes utilizan archivos torrent como cebo. Encuentran sitios de WordPress mal protegidos y publican mensajes ofreciendo descargar una película recientemente estrenada. En el enlace al archivo comprimido protegido con contraseña, el archivo malicioso está disfrazado como el reproductor xmpeg_player.exe.
Ejemplo de un sitio web hackeado que ofrece descargar un torrent infectado con una película. Fuente: "Laboratorio Kaspersky". En el caso de la "cacería" corporativa, se utilizan correos electrónicos de phishing con reclamos sobre violaciones de derechos de autor. El archivo infectado se encuentra en un archivo comprimido con detalles. Después de su ejecución, la computadora se infecta con Efimer, y el usuario solo ve una notificación de error.
A continuación, un troyano con la función de reemplazar direcciones de criptomonedas en el portapapeles por las billeteras del delincuente penetra en el dispositivo de la víctima. Además, el malware busca cadenas que se asemejen a frases semilla y es capaz de ejecutar código fraudulento a través de la red Tor para la autorrecuperación.
Según datos de "Kaspersky Lab", desde octubre de 2024 hasta julio de 2025, 5015 usuarios de soluciones se encontraron con ataques de Efimer. Entre los países más afectados se encuentran India, España, Rusia, Italia y Alemania.
Los hackers abrieron las compuertas de la represa noruega
Los hackers prorrusos obtuvieron el control sobre sistemas operativos críticos en una represa en Noruega y abrieron las válvulas de salida. Así lo informa Bleeping Computer.
Los hackers infiltraron el sistema digital que controla el flujo de agua en la presa de la comuna de Bremanger, y pusieron las válvulas de salida en posición abierta. A los operadores les tomó alrededor de cuatro horas detectar y cerrar el agua. Para entonces, ya habían pasado más de 7,2 millones de litros a través del sistema.
Consecuencias del ataque de hackers a la presa en la comuna de Bremanger, Noruega. Fuente: VG. El ataque ocurrió en abril. Sin embargo, el público se enteró del incidente en agosto por la jefa del servicio de seguridad de la policía noruega, Beate Gangos. Según ella, no fue tanto un intento de causar daño, sino una demostración de las capacidades de los hackers.
La vulnerabilidad de los concesionarios permitió controlar los autos de forma remota
El 10 de agosto, el investigador en ciberseguridad Harness Iton Zveare declaró en un comentario a TechCrunch sobre una vulnerabilidad en el portal en línea de concesionarios de uno de los fabricantes. Permitía revelar datos privados de los clientes, información sobre sus vehículos, así como hackear remotamente el vehículo.
Zveare se negó a nombrar al fabricante, pero aclaró que se trata de un conocido grupo automotriz con varias marcas populares. Según sus palabras, era difícil descubrir la vulnerabilidad en el sistema de autorización del portal, pero al encontrarla, pudo eludir completamente el mecanismo de inicio de sesión al crear una nueva cuenta de administrador.
El código vulnerable se cargaba en el navegador del usuario al abrir la página de inicio de sesión, lo que permitía modificarlo y eludir las comprobaciones de seguridad de la autorización. Una vez que obtuvo acceso, pudo ingresar a más de 1000 centros de distribución del fabricante en todo el territorio de EE. UU.
Como ejemplo, Zveare tomó el número VIN del parabrisas de un coche en el aparcamiento y lo utilizó para identificar al propietario. Señaló que la herramienta también se podría utilizar para buscar por el nombre y apellido del cliente.
Al tener acceso al portal, también es posible vincular cualquier automóvil a la cuenta móvil, lo que permitía controlar algunas funciones del coche a través de la aplicación, como por ejemplo, abrir las puertas. El experto no verificó si se podía ir en el automóvil, pero señaló que la vulnerabilidad permitía hackearlo y robar cosas.
También en ForkLog:
Tayikistán ha perdido más de $3 millones debido a la minería ilegal.
BtcTurk ha suspendido los retiros de fondos en medio de transacciones sospechosas por $48 millones.
El usuario hackeó a un hacker de Corea del Norte.
Un desarrollador de Ethereum se convirtió en víctima de una extensión maliciosa de IA.
Experto: el ataque Qubic a Monero no causó daño a la red.
Binance se unió al programa T3+ para combatir el crimen criptográfico.
Los hackers retiraron de la plataforma Odin.fun bitcoins por $7 millones.
Las filtraciones de datos KYC han llevado a un aumento de ataques a los inversores en criptomonedas.
Los hackers de ransomware Embargo están relacionados con el grupo BlackCat que se ha "escapado".
¿Qué leer el fin de semana?
ForkLog decidió investigar quién está detrás de la marca Salomon Brothers y qué implica para la industria el deseo de la empresa de acceder a las direcciones de bitcoin que considera abandonadas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Labubu-caza de criptousuarios, torrents peligrosos con películas y otros eventos de ciberseguridad
Hemos recopilado las noticias más importantes del mundo de la ciberseguridad de la semana.
«Envenenamiento» de la dirección criptográfica por $1,6 millones
Según una publicación del equipo de lucha contra el fraude ScamSniffer, el 15 de agosto, un usuario perdió 140 ETH (~$636 500 en el momento de escribir, al copiar una dirección incorrecta de su historial de transferencias de criptomonedas "infectado".
"El envenenamiento" de direcciones criptográficas se basa en la creación de direcciones prácticamente idénticas. Los delincuentes envían pequeñas transacciones desde billeteras que se parecen a las reales, para engañar a los usuarios y hacer que copien la incorrecta en futuras transferencias.
Según Cointelegraph, el 10 de agosto, una víctima de un ataque similar perdió $880 000. Otros informes, como señala la prensa, indican dos casos más: el primero, una pérdida de $80 000, y el segundo, $62 000. En cinco días, los estafadores lograron robar más de $1,6 millones utilizando este método.
Según ScamSniffer, además de las pérdidas por "envenenamiento de direcciones", esta semana se han perdido al menos $600 000 debido a la firma de solicitudes de phishing maliciosas como approve ), increaseAllowance ( y permit ).
El 12 de agosto, como resultado de tales acciones, el usuario perdió tokens BLOCK y DOLO por un valor de $165 000.
Los fanáticos de Labubu se quedaron sin criptomoneda
El 11 de agosto, los analistas de F6 descubrieron un esquema de robo de criptomonedas a los residentes de la Federación Rusa, informa RBK.
A través de un falso mercado de la popular juguete Labubu, los estafadores ofrecían criptomonedas gratuitas con el mismo nombre. Para participar en la falsa promoción, se pedía a los usuarios que conectaran su billetera criptográfica.
Después de su activación, el sitio de los delincuentes solicitaba acceso a la información sobre el saldo y el historial de transacciones de criptomonedas. En caso de que hubiera activos, la interfaz pedía un permiso adicional para verificar la participación en el "airdrop". Luego, el malware transfería los fondos de la víctima a las direcciones de los estafadores.
Para ahorrar sus recursos, los hackers rastreaban las billeteras: si estaban vacías, se negaba al usuario la participación.
Anteriormente, los estafadores usaban la marca Labubu para robar cuentas de Telegram. Los delincuentes creaban bots donde supuestamente se podía ganar un juguete o recibirlo a cambio de una reseña. Como resultado, la víctima compartía su contacto e introducía el código recibido del mensajero, después de lo cual perdía el acceso a la cuenta.
Los torrents de películas roban criptomonedas
Los empleados de «Laboratorio Kaspersky» han registrado una ola de robos mediante el reemplazo de criptobolsas. El troyano Efimer se propaga a través de sitios de WordPress hackeados, torrents y correos electrónicos. Además, el malware recopila las credenciales de los recursos hackeados para el posterior envío de spam.
Según los expertos, para atacar a personas privadas, los delincuentes utilizan archivos torrent como cebo. Encuentran sitios de WordPress mal protegidos y publican mensajes ofreciendo descargar una película recientemente estrenada. En el enlace al archivo comprimido protegido con contraseña, el archivo malicioso está disfrazado como el reproductor xmpeg_player.exe.
A continuación, un troyano con la función de reemplazar direcciones de criptomonedas en el portapapeles por las billeteras del delincuente penetra en el dispositivo de la víctima. Además, el malware busca cadenas que se asemejen a frases semilla y es capaz de ejecutar código fraudulento a través de la red Tor para la autorrecuperación.
Según datos de "Kaspersky Lab", desde octubre de 2024 hasta julio de 2025, 5015 usuarios de soluciones se encontraron con ataques de Efimer. Entre los países más afectados se encuentran India, España, Rusia, Italia y Alemania.
Los hackers abrieron las compuertas de la represa noruega
Los hackers prorrusos obtuvieron el control sobre sistemas operativos críticos en una represa en Noruega y abrieron las válvulas de salida. Así lo informa Bleeping Computer.
Los hackers infiltraron el sistema digital que controla el flujo de agua en la presa de la comuna de Bremanger, y pusieron las válvulas de salida en posición abierta. A los operadores les tomó alrededor de cuatro horas detectar y cerrar el agua. Para entonces, ya habían pasado más de 7,2 millones de litros a través del sistema.
La vulnerabilidad de los concesionarios permitió controlar los autos de forma remota
El 10 de agosto, el investigador en ciberseguridad Harness Iton Zveare declaró en un comentario a TechCrunch sobre una vulnerabilidad en el portal en línea de concesionarios de uno de los fabricantes. Permitía revelar datos privados de los clientes, información sobre sus vehículos, así como hackear remotamente el vehículo.
Zveare se negó a nombrar al fabricante, pero aclaró que se trata de un conocido grupo automotriz con varias marcas populares. Según sus palabras, era difícil descubrir la vulnerabilidad en el sistema de autorización del portal, pero al encontrarla, pudo eludir completamente el mecanismo de inicio de sesión al crear una nueva cuenta de administrador.
El código vulnerable se cargaba en el navegador del usuario al abrir la página de inicio de sesión, lo que permitía modificarlo y eludir las comprobaciones de seguridad de la autorización. Una vez que obtuvo acceso, pudo ingresar a más de 1000 centros de distribución del fabricante en todo el territorio de EE. UU.
Como ejemplo, Zveare tomó el número VIN del parabrisas de un coche en el aparcamiento y lo utilizó para identificar al propietario. Señaló que la herramienta también se podría utilizar para buscar por el nombre y apellido del cliente.
Al tener acceso al portal, también es posible vincular cualquier automóvil a la cuenta móvil, lo que permitía controlar algunas funciones del coche a través de la aplicación, como por ejemplo, abrir las puertas. El experto no verificó si se podía ir en el automóvil, pero señaló que la vulnerabilidad permitía hackearlo y robar cosas.
También en ForkLog:
¿Qué leer el fin de semana?
ForkLog decidió investigar quién está detrás de la marca Salomon Brothers y qué implica para la industria el deseo de la empresa de acceder a las direcciones de bitcoin que considera abandonadas.