StepDrainer drena carteras de criptomonedas en más de +20 redes
Una herramienta de robo de criptomonedas llamada StepDrainer está vaciando dinero de billeteras en Ethereum, BNB Chain, Arbitrum, Polygon y al menos otras 17 redes.
StepDrainer opera como un kit de malware como servicio. Utiliza ventanas emergentes falsas pero realistas de billeteras Web3 para engañar a las personas y hacer que aprueben transferencias. Algunas de esas pantallas están diseñadas para parecer conexiones de billeteras Web3Modal.
Una vez que alguien conecta su billetera, StepDrainer busca primero los tokens más valiosos y los envía automáticamente a billeteras controladas por los atacantes, según LevelBlue.
StepDrainer abusa de herramientas de Smart Contract
StepDrainer hace un uso indebido de herramientas reales de Smart Contract como Seaport y Permit v2 para mostrar ventanas emergentes de aprobación de billetera que parecen normales. Pero los detalles dentro de esas ventanas son falsos.
En un caso, investigadores de ciberseguridad descubrieron que las víctimas vieron un mensaje falso que decía que estaban recibiendo "+500 USDT," haciendo que la aprobación pareciera segura.
StepDrainer carga su código malicioso mediante scripts cambiantes y obtiene su configuración desde cuentas descentralizadas en la cadena.
Esa configuración ayuda a los atacantes a evadir las herramientas de seguridad normales porque el código malicioso no está almacenado en un lugar fijo donde pueda ser fácilmente analizado.
StepDrainer no es el proyecto de una sola persona. Los investigadores señalaron que existe un desarrollado mercado clandestino que vende kits de drenaje listos para usar, lo que facilita a muchos atacantes agregar funciones de robo de billeteras a las estafas que ya ejecutan.
EtherRAT sifona criptomonedas de usuarios de Windows
Los investigadores también encontraron otro malware además de StepDrainer, llamado EtherRAT. Se dirige a Windows a través de una versión falsa de la herramienta de administración de red Tftpd64.
Según LevelBlue, EtherRAT oculta Node.js dentro de un instalador falso, se asegura de permanecer en el equipo mediante el registro de Windows y usa PowerShell para inspeccionar el sistema.
EtherRAT apuntó primero a Linux. Ahora está trasladando sus trucos de malware y robo de criptomonedas a Windows.
EtherRAT se ejecuta silenciosamente en segundo plano. Verifica elementos como herramientas antivirus, configuraciones del sistema, detalles de dominio y hardware antes de comenzar a robar.
Según un reciente informe de Cryptopolitan, más de 500 billeteras de Ethereum han sido vaciadas en las últimas 24 horas. El atacante sifonó más de $800K en activos de criptomonedas y luego intercambió los fondos a través de ThorChain.
Muchas de las billeteras vaciadas han estado inactivas durante más de 7 años, según la investigación on-chain de Wazz. Los fondos drenados fueron dirigidos por una única dirección de billetera controlada por el atacante.
Los investigadores de ciberseguridad aconsejan a los usuarios que conectan billeteras a sitios desconocidos que verifiquen el dominio, lean los detalles de la transacción antes de firmar y eliminen cualquier aprobación ilimitada de tokens.
Existe un punto intermedio entre dejar el dinero en el banco y arriesgarlo todo en criptomonedas. Comienza con este video gratuito sobre finanzas descentralizadas.
También te puede interesar
XRP Las Vegas 2026 abre con ponentes que califican XRP como futura moneda de reserva mundial
![[OPINIÓN] Riesgos psicosociales — el coste oculto del trabajo en Filipinas](https://www.rappler.com/tachyon/2026/04/TL-psychosocial-work-apr-22-2026.jpg)
[OPINIÓN] Riesgos psicosociales — el coste oculto del trabajo en Filipinas
