Segurança 01 Jun
A Kaspersky, renomada empresa de segurança cibernética, identificou uma nova campanha de golpes que visam o roubo de carteiras digitais de criptomoedas em países da América Latina, Europa e nos Estados Unidos. Os atores são capazes de invadir até mesmo as carteiras que não possuem conexão com a internet, conhecidas como hardware wallets.
Conforme explicam os pesquisadores de cibersegurança, os criminosos utilizam três programas para o roubo dos criptoativos: DoubleFinger, que baixa os arquivos maliciosos no dispositivo; GreetingGhoul, que rouba as credenciais da vítima; e Remcos, um trojan de acesso remoto que permite o controle da plataforma infectada.
O golpe começa com um esquema de phishing, persuadindo as vítimas a baixarem um arquivo executável com extensão “.pif”, enviado pelos criminosos em uma mensagem de e-mail enganosa. Quando aberto, esse programa infecta o dispositivo com o DoubleFinger, que possui ação dividida em cinco estágios que dificultam sua detecção.
Nos dois primeiros estágios, o malware baixa um arquivo de imagem PNG e um arquivo pertencente ao Java. Os arquivos não são maliciosos quando separados, portanto, um computador com antivírus pode não os considerar como uma ameaça.
A terceira etapa é onde o golpe começa a tomar forma. Utilizando a técnica de esteganografia, isto é, a leitura de informações ocultas em uma imagem, o malware junta os códigos dos arquivos baixados nas etapas anteriores.
Posteriormente, o malware inicia um processo na memória do computador — técnica conhecida como fileless (“sem arquivo”, em tradução livre), uma vez que não deixa rastros armazenados que possam ser detectados com facilidade. Neste momento, o malware faz uma cópia do processo e adiciona os códigos maliciosos.
Por fim, o malware baixa o programa GreetingGhoul “disfarçado” como uma imagem PNG. O processo, então, altera a extensão do arquivo para “.exe”, permitindo sua execução e finalizando a invasão no dispositivo almejado.
Em alguns casos, a Kaspersky descobriu ondas de ataques que também baixaram o Remcos. Nestes casos, os criminosos burlam a segurança dos aplicativos de carteiras digitais que funcionam em computadores autorizados, dado que o malware fornece acesso remoto ao computador da vítima e permite que os hackers realizem as fraudes.
Os códigos maliciosos também são capazes de infectar as hardware wallets, carteiras digitais baseadas em mídias físicas conectadas ao PC através de USB. Esse método de armazenamento de criptomoedas é considerado mais seguro, uma vez que nunca está diretamente conectado à internet e fica menos exposto ao risco de golpes.
Através do malware, os criminosos utilizam mensagens falsas exibidas na tela do computador para persuadir as vítimas a inserirem suas hardware wallets no dispositivo infectado pelo DoubleFinger. Veja um exemplo:
Um relatório divulgado pela Kaspersky mostra que o roubo de criptomoedas cresceu proporcionalmente à sua popularidade entre investidores. A companhia reitera a importância de seguir as recomendações de segurança para proteger os ativos digitais.
É orientado que os investidores de criptoativos adquiram somente hardware wallets de fontes oficiais e confiáveis, como o site da fabricante ou revendedores autorizados. Além disso, é sempre importante ter cautela ao baixar arquivos de mensagens de e-mail e sites não confiáveis na internet para evitar os golpes de phishing.
Comentários