Kaspersky Lab descobre malware que rouba criptomoedas

Os pesquisadores da Kaspersky Lab descobriram um novo malware que rouba criptomoedas de carteiras online de usuários ao trocar o endereço pelo próprio na área de transferência do dispositivo. Os criminosos estão mirando em criptomoedas famosas como Bitcoin, Ethereum, Zcash, Dash, Monero e outros. Inclusive, eles já tiveram sucesso com roubo de carteiras de bitcoin, conseguindo quase US$ 140 mil ao todo, de acordo com dados da Kaspersky Lab. Além disso, especialistas descobriram um novo Trojan, criado especialmente para roubar Monero, com algumas amostras disponíveis.

Os pesquisadores da Kaspersky Lab já descobriram um aumento de mineradores, que afetou milhares de computadores e geraram centenas de milhares de dólares. Especialistas perceberam que esses criminosos estão usando cada vez menos técnicas e gastando cada vez menos tempo e pesquisas nessa área. De acordo com a pesquisa, os assaltantes de criptomodeas – número que aumenta a cada ano – estão colocando cada vez mais em risco as poupanças dos usuários.

Os pesquisadores da Kaspersky Lab descobriram um novo Trojan, o CryptoShuffler, feito para alterar os endereços das carteiras virtuais de usuários na área de transferência do dispositivo infectado (um software facilitador usado para armazenamento de dados a curto prazo). Os sequestros na área de transferência, que redirecionam usuários para sites maliciosos e miram pagamentos em sistemas online, são conhecidos há anos. Entretanto, casos envolvendo criptomoedas são raros.

Na maioria dos casos, se o usuário deseja transferir suas criptomoedas para outro usuário, é necessário saber qual o ID da carteira dessa pessoa – um número único e exclusivo. É nesse momento que o CryptoShuffler explora a necessidade do sistema de operar com esses números.

Depois que é iniciado, o CryptoShuffler começa a monitorar a área de transferência do dispositivo, utilizado pelos usuários enquanto fazem o pagamento. Isso envolve copiar e colar os números da carteira onde está escrito “endereço de destino”, usado para a transação do dinheiro. O Trojan, então, troca o número original do usuário por um usado pelo criador do malware. O resultado? A vítima transfere seu dinheiro diretamente para o criminoso – a não ser que o usuário perceba a diferença dos endereços.

O último caso é raro, já que esse número que designa o endereço possui vários dígitos e os endereços geralmente são complicados para lembrar. Por isso, é difícil definir qualquer característica diferente na linha de transação, mesmo que esteja na cara do usuário.

A substituição de destino na área de transferência ocorre instantaneamente, graças à simplicidade de busca de endereços de carteira: a maioria das carteiras virtuais tem uma posição constante na linha de transação e sempre usa um certo número de caracteres. Assim, os criminosos podem facilmente criar códigos regulares para substituí-los. Com base na pesquisa, o CryptoShuffler trabalha com uma ampla gama de criptomoeadas mais populares, como Bitcoin, Ethereum, Zcash, Dash, Monero e outros.

Até agora, com base nas observações dos pesquisadores da Kaspersky Lab, os criminosos por trás do CryptoShuffler tiveram sucesso em ataques contra usuários de carteiras de Bitcoin – eles conseguiram roubar 23 BTC, o que é equivalente a 140 mil dólares. O total em outras carteiras varia de alguns dólares a milhares de dólares.

“As criptomoedas já não são mais uma tecnologia distante. Está em nossas vidas diariamente e espalhando-se ativamente em todo o mundo, tornando-se mais disponível para usuários, além de um alvo mais atraente para criminosos. Ultimamente, observamos um aumento nos ataques de malware visando diferentes tipos de criptomoeadas, e esperamos que essa tendência continue. Então, os usuários que estão considerando investir em criptomoedas neste momento precisam garantir que eles tenham proteção adequada”, diz Sergey Yunakovsky, analista de malware na Kaspersky Lab.

Especialistas também encontraram um outro Trojan que mira a moeda Monero – o trojan DiscordiaMiner, que foi projetado para carregar e executar arquivos de um servidor remoto. De acordo com a pesquisa, existem algumas performances similares ao Trojan NukeBot, descoberto no início do ano. Assim como no caso NukeBot, a fonte dos códigos foi compartilhada em fóruns de hacking ilegal.

A Kaspersky Lab recomenda que os usuários instalem soluções de segurança na Internet, como o Kaspersky Total Security multi-dispositivos que, além de toda a gama de tecnologias de proteção, inclui tecnologia Safe Money que protege os dados dos usuários durante transações bancárias e financeiras. Para obter mais segurança, este recurso busca vulnerabilidades conhecidas por terem sido exploradas por cibercriminosos, procura constantemente malware especializado, protege as transações contra intrusos com a ajuda da tecnologia do Navegador Protegido e preserva especificamente a área de transferência onde os dados confidenciais podem ser armazenados durante a cópia/cola dos dados das operações.