Os cibercriminosos nunca param de inovar e são especialmente atraídos por criptomoedas. Talvez você esteja explorando a Internet sem saber em quantas minas terrestres está prestes a pisar. Nunca é demais ter cuidado e se manter atualizado sobre as últimas tendências de segurança quando se trata de proteger seus fundos de criptomoedas. Para lhe dar uma ideia de quão grande é esse negócio maligno para partes maliciosas, de acordo com , cerca de US$ 24,2 bilhões foram recebidos por endereços criptográficos ilícitos em 2023. Não faça parte do próximo número! Vamos ver algumas novas técnicas de malware que você deve conhecer este ano e como se proteger contra elas. Análise em cadeia Um backdoor no MacOS Não é exatamente uma boa ideia baixar aplicativos de sites não oficiais, e este é um ótimo exemplo do porquê. Empresa de segurança cibernética Kaspersky Lab no início deste ano, uma nova ameaça teve como alvo as carteiras de criptomoedas dos usuários do macOS, que estava escondida em software pirateado disponível em sites de torrent e pirataria. descoberto O passo inicial envolve um aplicativo chamado "Activator", que solicita aos usuários que forneçam acesso administrativo. Isso dá ao malware as permissões necessárias para se instalar e desabilitar a função normal do software pirateado, enganando os usuários a pensar que precisam desse Activator para fazer o software funcionar. Quando os usuários instalam esses programas aparentemente gratuitos, eles estão, sem saber, permitindo malware em seus computadores. Uma vez instalado, o malware contata um servidor remoto para baixar mais instruções maliciosas. Essas instruções ajudam o malware a criar um backdoor, dando aos hackers acesso contínuo ao computador infectado. O objetivo principal desse malware é roubar criptomoedas. Ele substitui aplicativos de carteira legítimos como Exodus e Bitcoin-Qt por versões infectadas. Esses aplicativos alterados então capturam informações sensíveis, como frases de recuperação e senhas de carteira, e as enviam aos hackers — efetivamente drenando seus fundos de criptomoedas. Um instalador suspeito de “Ativador” apareceu logo após você obter um aplicativo 'grátis'? Não forneça acesso a ele e desinstale-o imediatamente! Vortax, Jogos Web3 e “Markopolo” A Campanha Vortax é uma operação enganosa de malware que tem como alvo usuários de criptomoedas, descoberta pelos pesquisadores da Recorded Future. Os cibercriminosos por trás use aplicativos falsos, mas aparentemente legítimos, para infectar dispositivos Windows e macOS com malware que rouba informações. Posando como um software de reunião virtual chamado Vortax, o aplicativo parece confiável com um site indexado por mecanismos de busca, um blog com artigos gerados por IA e contas de mídia social em plataformas como X, Telegram e Discord. O agente da ameaça interage com vítimas em potencial em discussões com temas de criptomoeda, direcionando-as a baixar o aplicativo Vortax sob o pretexto de participar de uma reunião virtual. este esquema Depois que os usuários seguem as instruções fornecidas, eles são redirecionados para links de download que instalam o software Vortax. No entanto, em vez de um aplicativo funcional, os arquivos de instalação entregam malware como Rhadamanthys, Stealc ou Atomic Stealer (AMOS). Investigações posteriores revelaram que a campanha Vortax está vinculada a vários domínios que hospedam aplicativos maliciosos semelhantes e jogos web3 falsos, sugerindo um esforço bem organizado pelo ator da ameaça, identificado como Markopolo. O aplicativo Vortax parece não funcionar devido a erros deliberados, enquanto em segundo plano, o malware começa a roubar informações confidenciais — incluindo senhas e frases-semente. As táticas da Markopolo incluem alavancar as mídias sociais e plataformas de mensagens para distribuir seu malware, como marcas e jogos como VDeck, Mindspeak, ArgonGame, DustFighter e Astration. Essa estratégia não apenas amplia seu alcance, mas também aumenta a probabilidade de usuários serem enganados a baixar o software malicioso. A sofisticação e adaptabilidade da campanha implicam que ataques futuros podem se tornar ainda mais prevalentes, destacando a necessidade de os usuários terem cautela ao baixar software de terceiros, especialmente se eles parecem suspeitamente insistentes sobre isso. também disfarçado Pytoileur, uma armadilha para desenvolvedores Python Pesquisadores da Sonatype descobriram uma nova ameaça direcionada a usuários de criptomoedas por meio de um pacote Python malicioso chamado “pytoileur”. Disfarçado como uma ferramenta legítima de gerenciamento de API, o pytoileur engana os usuários para baixá-lo do Python Package Index (PyPI). Uma vez instalado, o pacote secretamente recupera e instala software prejudicial projetado para roubar criptomoedas acessando informações confidenciais armazenadas no dispositivo da vítima. estava habilmente escondido dentro de um código aparentemente inocente. Ele baixou um arquivo executável perigoso que, uma vez executado, realizou várias atividades maliciosas. , . Ao acessar dados do navegador e outros detalhes financeiros, o malware poderia desviar ativos digitais sem o conhecimento da vítima. O pacote malicioso Isso incluía modificar as configurações do sistema, manter uma presença no dispositivo para evitar a detecção e, mais importante, tentar roubar criptomoedas de carteiras e contas associadas a serviços populares como Binance Coinbase e Crypto.com A distribuição do pytoileur envolveu táticas de engenharia social, incluindo a exploração de plataformas comunitárias como o Stack Overflow para atrair desenvolvedores a baixar o pacote sob o pretexto de resolver problemas técnicos. Este incidente é parte de uma campanha mais ampla "Cool package", indicando um esforço contínuo de cibercriminosos para atingir usuários de criptomoedas por meio de métodos sofisticados e em evolução. Mend.io, outra empresa de segurança, mais de 100 pacotes maliciosos em bibliotecas PyPI. identificou Os desenvolvedores podem evitar pacotes maliciosos baixando de fontes confiáveis, verificando a integridade do pacote e revisando o código antes do uso. Manter-se atualizado com os avisos de segurança e usar ferramentas de segurança automatizadas também ajuda. P2PInfect, uma ameaça crescente O P2Pinfect, identificado pela Cado Security, é um malware sofisticado que utiliza uma botnet peer-to-peer para controle. Em outras palavras, o malware detecta se um computador pertence a uma rede e infecta todos os dispositivos conectados para se comunicarem e controlarem uns aos outros diretamente, sem depender de um servidor central. Inicialmente parecendo dormente, sua forma atualizada agora inclui recursos de ransomware e criptomineração. , ele se espalha principalmente por meio de vulnerabilidades no Redis, um sistema de banco de dados popular, permitindo que o malware execute comandos arbitrários e se propague por sistemas conectados. O recurso de botnet garante a distribuição rápida de atualizações, mantendo uma rede extensa de dispositivos comprometidos — em uma empresa inteira, por exemplo. Após a infecção As vítimas geralmente encontram o P2Pinfect por meio de configurações inseguras do Redis ou por meio de tentativas limitadas de SSH (Secure Shell) para gerenciar sistemas remotos com credenciais comuns. Este minerador é ativado após um breve atraso e gera criptomoedas usando os recursos do sistema, canalizando secretamente os ganhos para a carteira do invasor e diminuindo a velocidade dos recursos do dispositivo. Uma vez ativo no sistema da vítima, o P2Pinfect instala um minerador de criptomoedas visando a criptomoeda Monero. O componente ransomware criptografa (bloqueia) arquivos e exige um pagamento criptográfico para recuperá-los, embora sua eficácia seja limitada devido às permissões típicas dos servidores Redis infectados. A carteira Monero do invasor acumulou aproximadamente 71 XMR, equivalente a cerca de US$ 12.400. Isso ilustra o sucesso financeiro da campanha, apesar do impacto potencialmente limitado do ransomware devido aos dados típicos de baixo valor armazenados pelo Redis. Para evitar esse malware, lembre-se de proteger as configurações do Redis e monitorar regularmente atividades incomuns. AggrTrade falso e outras extensões maliciosas A extensão falsa AggrTrade Chrome, descrita pela empresa de segurança SlowMist, era uma ferramenta maliciosa que enganava os usuários para que perdessem quantias significativas de criptomoeda. Os usuários a instalaram sem saber, o que então explorou seu acesso a bolsas de criptomoedas e plataformas de negociação sequestrando informações confidenciais — senhas e credenciais. A extensão se disfarçava como uma ferramenta de negociação legítima (AggrTrade), mas foi projetada apenas para roubar fundos. funcionava capturando cookies e outros dados de sessão, o que lhe permitia imitar logins de usuários e conduzir transações não autorizadas. Isso levou ao roubo de cerca de US$ 1 milhão no total. Ele foi distribuído por meio de táticas enganosas via mídia social e promoção de marketing que atraíam as vítimas para baixá-lo e instalá-lo, geralmente de fontes não oficiais ou suspeitas. A extensão Essa ameaça específica já foi derrubada, mas é apenas um exemplo escasso entre inúmeras tentativas. Para se proteger, instale apenas extensões de fontes confiáveis, verifique as permissões regularmente e monitore suas contas para atividades incomuns. Atualmente, várias outras extensões maliciosas do Chrome estão se passando por serviços de negociação genuínos com o objetivo de roubar criptomoedas. Além disso, lembre-se de que todas as extensões de navegador são capazes de rastrear todo o seu histórico de navegação, ver o que você está fazendo em cada site e roubar cookies e outros dados privados. Usar hardware ou carteiras de papel para quantias substanciais e manter o software de segurança atualizado também pode aumentar sua proteção contra tais ameaças. Medidas de Proteção Para se proteger contra malwares de roubo de criptomoedas como esses, você pode aplicar algumas medidas básicas: Use apenas extensões e softwares de fontes confiáveis e sites oficiais. Verifique avaliações e permissões antes da instalação. Instalar de Fontes Confiáveis: antes de instalar outro aplicativo ou extensão de navegador no seu computador desktop, pense novamente se você realmente precisa dele. Talvez você possa atingir seus objetivos com o software existente? (É mais seguro em plataformas móveis onde cada aplicativo é sandboxed, no entanto). Instale o mínimo de software possível: revise e remova frequentemente extensões ou softwares não utilizados. Verifique regularmente se há atividade incomum em suas contas de criptomoedas (online e offline) e no sistema. Verificações de segurança regulares: habilite a autenticação de dois fatores (2FA) em suas contas para adicionar uma camada extra de segurança. , você pode fazer isso criando uma conta multidispositivo no menu principal ou definindo uma senha de gastos nas configurações. Use autenticação forte: Carteiras Obyte use ferramentas antivírus e antimalware atualizadas para detectar e bloquear ameaças online e offline. Use ferramentas antimalware: Armazene ativos criptográficos significativos em carteiras de hardware ou de papel para reduzir a exposição a ameaças online. Por meio da carteira Obyte, você pode facilmente criar sua própria carteira de papel gerando (doze palavras aleatórias), anotando-as e, em seguida, excluindo ou bloqueando o software até que você precise gastar os fundos. Proteja sua Criptomoeda: uma moeda de texto Dentro e além, certifique-se de usar carteiras seguras e verificadas e siga estas práticas recomendadas para proteger seus ativos! da Obyte Imagem vetorial em destaque por Freepik
