Los ciberdelincuentes explotan la función de anuncios de X para lanzar un sofisticado esquema de criptomonedas.

Los analistas de ciberseguridad han descubierto una nueva estafa peligrosa que explota el sistema de visualización de URL publicitarias de X (anteriormente Twitter) para engañar a los usuarios y hacer que caigan en promociones falsas de criptomonedas.

Investigadores de amenazas en Silent Push revelaron que los atacantes manipularon la funcionalidad de vista previa de URL de anuncios de X para mostrar dominios de confianza – como CNN.com – aunque el enlace real llevaba a las víctimas a sitios web fraudulentos que suplantaban a Apple y promovían una falsa preventa de criptomonedas llamada "Apple iToken".

Este esquema abusa de la forma en que X genera sus tarjetas de vista previa de enlaces. Cuando se publica una URL en un anuncio, el bot de X obtiene metadatos utilizando una cadena de agente de usuario estática. Los atacantes configuran sus servidores web para reconocer ese agente de usuario y redirigir el bot a un sitio legítimo (como cnn[.]com), creando una vista previa limpia. Pero cuando los usuarios regulares hacen clic, son redirigidos silenciosamente a dominios fraudulentos como ipresale[.]world.

En algunos casos, los atacantes utilizan acortadores de enlaces como bit[.]ly, que inicialmente apuntan a un sitio de buena reputación para la generación de vista previa, solo para cambiar a páginas maliciosas una vez que el anuncio está activo.

Estos enlaces de phishing a menudo pasan por varias redirecciones (incluyendo t[.]co) antes de aterrizar en sitios de estafa diseñados profesionalmente. A las víctimas se les muestran falsos respaldos del CEO de Apple, Tim Cook, y se les anima a depositar fondos en una de las 22 billeteras de criptomonedas a través de las redes de Bitcoin, Ethereum y Solana.

Una investigación adicional descubrió casi 90 dominios relacionados activos desde 2024. Los atacantes utilizaron una infraestructura consistente – archivos compartidos, íconos, direcciones IP (por ejemplo, 51.15.17[.]214) y servidores de nombres (ns1.chsw.host) – para operar la red de estafas.

La segunda ola de la campaña se lanzó a través de nuevos anuncios de X el 5 de mayo de 2025, redirigiendo a los usuarios a través de chopinkos[.]digital hacia itokensale[.]live, con contenido de estafa casi idéntico y abuso de la marca Apple.

Algunos dominios asociados incluso se vincularon a regiones sospechosas .ru, aunque la atribución definitiva a un grupo específico sigue sin confirmarse.

Este incidente destaca la sofisticación del fraude publicitario en redes sociales modernas y los riesgos de que las plataformas dependan de la redirección del lado del cliente sin una verificación robusta de URL. Silent Push recomienda mejoras urgentes en el sistema de revisión de anuncios y metadatos de X, así como una mayor vigilancia por parte de los usuarios.

A medida que las estafas publicitarias se vuelven más engañosas, los usuarios no solo deben pensarlo dos veces antes de hacer clic, sino también limpiar regularmente el contenido pasado. Herramientas como TweetDeleter te permiten eliminar tweets antiguos y gestionar tu historial en redes sociales – un paso esencial para mantenerse seguro en línea.

Fuente: gbhackers.com