El Director de Seguridad de la Información de SlowMist, 23pds, informa que la variante del troyano AMOS 'Odyssey' está robando información de carteras de criptomonedas a través de anuncios falsos de herramientas de IA, destacando riesgos de seguridad significativos.

Resumen Ejecutivo

El 18 de septiembre, el Director de Seguridad de la Información de SlowMist, 23pds, reveló que Odyssey, una variante del troyano de robo de información AMOS, está atacando activamente a los usuarios de criptomonedas. Este malware se propaga a través de anuncios falsos de herramientas de inteligencia artificial (IA) en plataformas como Twitter, engañando a las personas para que descarguen software malicioso disfrazado de aplicaciones cliente de IA legítimas. Una vez instalado, Odyssey está diseñado para exfiltrar datos sensibles, incluida información de carteras de criptomonedas, detalles del sistema y datos del navegador.

El Evento en Detalle

Odyssey es un malware sofisticado que utiliza AppleScript como su carga útil principal para ejecutar el robo de datos. El vector de ataque se basa en la ingeniería social, aprovechando la popularidad de las herramientas de IA para distribuir malware. A los usuarios que encuentran estos anuncios fraudulentos se les pide que descarguen lo que parece ser un software cliente de IA legítimo. Sin embargo, la aplicación descargada es maliciosa, diseñada específicamente para robar información sensible. Esto incluye claves privadas y frases semilla de carteras de criptomonedas basadas en navegador como MetaMask, Trust Wallet, Phantom, Exodus, Coinbase Wallet y Ledger Live, así como datos generales del sistema y del navegador. Las iteraciones anteriores del malware AMOS, incluidas las que suplantan a las aplicaciones de Ledger, han demostrado la capacidad de eludir las medidas de seguridad como Gatekeeper de Apple mediante el uso de archivos engañosos e interfaces de phishing para robar frases semilla de 24 palabras.

Implicaciones para el Mercado

La aparición de la variante Odyssey subraya un panorama de amenazas crítico y en evolución dentro del sector de las criptomonedas. Este tipo de compromiso directo de la cartera contribuye significativamente a las crecientes pérdidas financieras reportadas en todo el ecosistema de activos digitales. Los datos de CertiK indican que aproximadamente 2.47 mil millones de dólares en criptomonedas fueron robados en la primera mitad de 2025, superando las pérdidas totales de todo 2024. El compromiso de la cartera fue identificado como el vector de ataque más costoso, representando 1.7 mil millones de dólares en 34 incidentes en el primer semestre de 2025, impulsado en gran medida por algunos eventos de alto impacto. La proliferación continua de troyanos sofisticados como Odyssey, que se dirigen específicamente a las credenciales de la cartera, exacerba directamente esta tendencia, erosionando la confianza del usuario y planteando riesgos sistémicos para la seguridad de los activos individuales.

Comentario de Expertos

El CISO de SlowMist, 23pds, advirtió explícitamente a los usuarios que se mantuvieran vigilantes contra estas amenazas. Los especialistas en seguridad aconsejan extrema precaución, instando a las personas a evitar descargar cualquier herramienta de IA o software relacionado con criptomonedas de canales no oficiales. Se recomiendan controles de seguridad regulares en los dispositivos. El consenso más amplio de expertos, como lo destacó el CISO de SlowMist, Shan Zhang, con respecto a otros programas maliciosos como ModStealer, enfatiza la grave amenaza que representan los ladrones de datos multiplataforma y sigilosos para el ecosistema de activos digitales. Las recomendaciones generales de seguridad incluyen descargar extensiones de cartera exclusivamente de tiendas oficiales, verificar los editores de software antes de la instalación y habilitar la autenticación multifactor (MFA) siempre que sea posible.

Contexto más Amplio y Estrategia Comercial

La metodología de ataque empleada por la variante Odyssey refleja una estrategia de atacante que capitaliza las tendencias tecnológicas populares, como la IA, para crear señuelos creíbles. Este enfoque refleja otras tácticas de ciberdelincuencia en evolución, incluidas las utilizadas por grupos como GreedyBear, que aprovecha el código generado por IA y las técnicas de "extension hollowing" —donde las extensiones legítimas se actualizan posteriormente con código malicioso— para atacar carteras de alto tráfico. Los mecanismos financieros de estos ataques implican la exfiltración directa de datos sensibles de la cartera, como frases semilla y claves privadas, lo que permite directamente a los atacantes vaciar las tenencias de criptomonedas comprometidas. Esta amenaza continua destaca la necesidad crítica de prácticas de seguridad robustas y de múltiples capas en todo el ecosistema Web3, abarcando no solo la vigilancia individual del usuario, sino también auditorías de código continuas, monitoreo en tiempo real y una respuesta proactiva a incidentes por parte de plataformas y desarrolladores. Las altas cifras de activos robados debido a compromisos de carteras demuestran que los atacantes se están enfocando cada vez más en el eslabón más débil: el punto final del usuario y su manejo de credenciales sensibles.