5 novas técnicas de malware para roubar suas criptomoedas (2024)

Os cibercriminosos nunca param de inovar e são especialmente atraídos por criptomoedas. Talvez você esteja explorando a Internet sem saber em quantas minas terrestres está prestes a pisar. Nunca é demais ter cuidado e se manter atualizado sobre as últimas tendências de segurança quando se trata de proteger seus fundos de criptomoedas.

Para lhe dar uma ideia de quão grande é esse negócio maligno para partes maliciosas, de acordo com Análise em cadeia , cerca de US$ 24,2 bilhões foram recebidos por endereços criptográficos ilícitos em 2023. Não faça parte do próximo número! Vamos ver algumas novas técnicas de malware que você deve conhecer este ano e como se proteger contra elas.

Um backdoor no MacOS

Não é exatamente uma boa ideia baixar aplicativos de sites não oficiais, e este é um ótimo exemplo do porquê. Empresa de segurança cibernética Kaspersky Lab descoberto no início deste ano, uma nova ameaça teve como alvo as carteiras de criptomoedas dos usuários do macOS, que estava escondida em software pirateado disponível em sites de torrent e pirataria.

Quando os usuários instalam esses programas aparentemente gratuitos, eles estão, sem saber, permitindo malware em seus computadores. O passo inicial envolve um aplicativo chamado "Activator", que solicita aos usuários que forneçam acesso administrativo. Isso dá ao malware as permissões necessárias para se instalar e desabilitar a função normal do software pirateado, enganando os usuários a pensar que precisam desse Activator para fazer o software funcionar.

Uma vez instalado, o malware contata um servidor remoto para baixar mais instruções maliciosas. Essas instruções ajudam o malware a criar um backdoor, dando aos hackers acesso contínuo ao computador infectado. O objetivo principal desse malware é roubar criptomoedas. Ele substitui aplicativos de carteira legítimos como Exodus e Bitcoin-Qt por versões infectadas.

Esses aplicativos alterados então capturam informações sensíveis, como frases de recuperação e senhas de carteira, e as enviam aos hackers — efetivamente drenando seus fundos de criptomoedas. Um instalador suspeito de “Ativador” apareceu logo após você obter um aplicativo 'grátis'? Não forneça acesso a ele e desinstale-o imediatamente!

Vortax, Jogos Web3 e “Markopolo”

A Campanha Vortax é uma operação enganosa de malware que tem como alvo usuários de criptomoedas, descoberta pelos pesquisadores da Recorded Future. Os cibercriminosos por trás este esquema use aplicativos falsos, mas aparentemente legítimos, para infectar dispositivos Windows e macOS com malware que rouba informações. Posando como um software de reunião virtual chamado Vortax, o aplicativo parece confiável com um site indexado por mecanismos de busca, um blog com artigos gerados por IA e contas de mídia social em plataformas como X, Telegram e Discord. O agente da ameaça interage com vítimas em potencial em discussões com temas de criptomoeda, direcionando-as a baixar o aplicativo Vortax sob o pretexto de participar de uma reunião virtual.

Depois que os usuários seguem as instruções fornecidas, eles são redirecionados para links de download que instalam o software Vortax. No entanto, em vez de um aplicativo funcional, os arquivos de instalação entregam malware como Rhadamanthys, Stealc ou Atomic Stealer (AMOS). O aplicativo Vortax parece não funcionar devido a erros deliberados, enquanto em segundo plano, o malware começa a roubar informações confidenciais — incluindo senhas e frases-semente. Investigações posteriores revelaram que a campanha Vortax está vinculada a vários domínios que hospedam aplicativos maliciosos semelhantes e jogos web3 falsos, sugerindo um esforço bem organizado pelo ator da ameaça, identificado como Markopolo.

As táticas da Markopolo incluem alavancar as mídias sociais e plataformas de mensagens para distribuir seu malware, também disfarçado como marcas e jogos como VDeck, Mindspeak, ArgonGame, DustFighter e Astration. Essa estratégia não apenas amplia seu alcance, mas também aumenta a probabilidade de usuários serem enganados a baixar o software malicioso. A sofisticação e adaptabilidade da campanha implicam que ataques futuros podem se tornar ainda mais prevalentes, destacando a necessidade de os usuários terem cautela ao baixar software de terceiros, especialmente se eles parecem suspeitamente insistentes sobre isso.

Pytoileur, uma armadilha para desenvolvedores Python

Pesquisadores da Sonatype descobriram uma nova ameaça direcionada a usuários de criptomoedas por meio de um pacote Python malicioso chamado “pytoileur”. Disfarçado como uma ferramenta legítima de gerenciamento de API, o pytoileur engana os usuários para baixá-lo do Python Package Index (PyPI). Uma vez instalado, o pacote secretamente recupera e instala software prejudicial projetado para roubar criptomoedas acessando informações confidenciais armazenadas no dispositivo da vítima.

O pacote malicioso estava habilmente escondido dentro de um código aparentemente inocente. Ele baixou um arquivo executável perigoso que, uma vez executado, realizou várias atividades maliciosas. Isso incluía modificar as configurações do sistema, manter uma presença no dispositivo para evitar a detecção e, mais importante, tentar roubar criptomoedas de carteiras e contas associadas a serviços populares como Binance , Coinbase e Crypto.com . Ao acessar dados do navegador e outros detalhes financeiros, o malware poderia desviar ativos digitais sem o conhecimento da vítima.

A distribuição do pytoileur envolveu táticas de engenharia social, incluindo a exploração de plataformas comunitárias como o Stack Overflow para atrair desenvolvedores a baixar o pacote sob o pretexto de resolver problemas técnicos. Este incidente é parte de uma campanha mais ampla "Cool package", indicando um esforço contínuo de cibercriminosos para atingir usuários de criptomoedas por meio de métodos sofisticados e em evolução. Mend.io, outra empresa de segurança, identificou mais de 100 pacotes maliciosos em bibliotecas PyPI.

Os desenvolvedores podem evitar pacotes maliciosos baixando de fontes confiáveis, verificando a integridade do pacote e revisando o código antes do uso. Manter-se atualizado com os avisos de segurança e usar ferramentas de segurança automatizadas também ajuda.

P2PInfect, uma ameaça crescente

O P2Pinfect, identificado pela Cado Security, é um malware sofisticado que utiliza uma botnet peer-to-peer para controle. Em outras palavras, o malware detecta se um computador pertence a uma rede e infecta todos os dispositivos conectados para se comunicarem e controlarem uns aos outros diretamente, sem depender de um servidor central. Inicialmente parecendo dormente, sua forma atualizada agora inclui recursos de ransomware e criptomineração.

Após a infecção , ele se espalha principalmente por meio de vulnerabilidades no Redis, um sistema de banco de dados popular, permitindo que o malware execute comandos arbitrários e se propague por sistemas conectados. O recurso de botnet garante a distribuição rápida de atualizações, mantendo uma rede extensa de dispositivos comprometidos — em uma empresa inteira, por exemplo.

As vítimas geralmente encontram o P2Pinfect por meio de configurações inseguras do Redis ou por meio de tentativas limitadas de SSH (Secure Shell) para gerenciar sistemas remotos com credenciais comuns. Uma vez ativo no sistema da vítima, o P2Pinfect instala um minerador de criptomoedas visando a criptomoeda Monero. Este minerador é ativado após um breve atraso e gera criptomoedas usando os recursos do sistema, canalizando secretamente os ganhos para a carteira do invasor e diminuindo a velocidade dos recursos do dispositivo.

O componente ransomware criptografa (bloqueia) arquivos e exige um pagamento criptográfico para recuperá-los, embora sua eficácia seja limitada devido às permissões típicas dos servidores Redis infectados. A carteira Monero do invasor acumulou aproximadamente 71 XMR, equivalente a cerca de US$ 12.400. Isso ilustra o sucesso financeiro da campanha, apesar do impacto potencialmente limitado do ransomware devido aos dados típicos de baixo valor armazenados pelo Redis. Para evitar esse malware, lembre-se de proteger as configurações do Redis e monitorar regularmente atividades incomuns.

AggrTrade falso e outras extensões maliciosas

A extensão falsa AggrTrade Chrome, descrita pela empresa de segurança SlowMist, era uma ferramenta maliciosa que enganava os usuários para que perdessem quantias significativas de criptomoeda. A extensão se disfarçava como uma ferramenta de negociação legítima (AggrTrade), mas foi projetada apenas para roubar fundos. Os usuários a instalaram sem saber, o que então explorou seu acesso a bolsas de criptomoedas e plataformas de negociação sequestrando informações confidenciais — senhas e credenciais.

A extensão funcionava capturando cookies e outros dados de sessão, o que lhe permitia imitar logins de usuários e conduzir transações não autorizadas. Isso levou ao roubo de cerca de US$ 1 milhão no total. Ele foi distribuído por meio de táticas enganosas via mídia social e promoção de marketing que atraíam as vítimas para baixá-lo e instalá-lo, geralmente de fontes não oficiais ou suspeitas.

Essa ameaça específica já foi derrubada, mas é apenas um exemplo escasso entre inúmeras tentativas. Atualmente, várias outras extensões maliciosas do Chrome estão se passando por serviços de negociação genuínos com o objetivo de roubar criptomoedas. Para se proteger, instale apenas extensões de fontes confiáveis, verifique as permissões regularmente e monitore suas contas para atividades incomuns.

Além disso, lembre-se de que todas as extensões de navegador são capazes de rastrear todo o seu histórico de navegação, ver o que você está fazendo em cada site e roubar cookies e outros dados privados. Usar hardware ou carteiras de papel para quantias substanciais e manter o software de segurança atualizado também pode aumentar sua proteção contra tais ameaças.

Medidas de Proteção

Para se proteger contra malwares de roubo de criptomoedas como esses, você pode aplicar algumas medidas básicas:

• Instalar de Fontes Confiáveis: Use apenas extensões e softwares de fontes confiáveis e sites oficiais. Verifique avaliações e permissões antes da instalação.
  
• Instale o mínimo de software possível: antes de instalar outro aplicativo ou extensão de navegador no seu computador desktop, pense novamente se você realmente precisa dele. Talvez você possa atingir seus objetivos com o software existente? (É mais seguro em plataformas móveis onde cada aplicativo é sandboxed, no entanto).
  
• Verificações de segurança regulares: revise e remova frequentemente extensões ou softwares não utilizados. Verifique regularmente se há atividade incomum em suas contas de criptomoedas (online e offline) e no sistema.
  
• Use autenticação forte: habilite a autenticação de dois fatores (2FA) em suas contas para adicionar uma camada extra de segurança. Carteiras Obyte , você pode fazer isso criando uma conta multidispositivo no menu principal ou definindo uma senha de gastos nas configurações.

• Use ferramentas antimalware: use ferramentas antivírus e antimalware atualizadas para detectar e bloquear ameaças online e offline.
  
• Proteja sua Criptomoeda: Armazene ativos criptográficos significativos em carteiras de hardware ou de papel para reduzir a exposição a ameaças online. Por meio da carteira Obyte, você pode facilmente criar sua própria carteira de papel gerando uma moeda de texto (doze palavras aleatórias), anotando-as e, em seguida, excluindo ou bloqueando o software até que você precise gastar os fundos.

Dentro da Obyte e além, certifique-se de usar carteiras seguras e verificadas e siga estas práticas recomendadas para proteger seus ativos!

Imagem vetorial em destaque por Freepik