Redes Paloaltosociedade de cíber segurançaalertou que, nos últimos anos, uma malware focado em criptomoedas ganhou força e recentemente descobriu uma campanha voltada para falantes de português, que visa redirecionar a criptomoeda das carteiras de usuários legítimos para carteiras controladas por agentes de ameaças.
Segundo informações da empresa, para isso, um tipo de malware conhecido como “cortador de criptomoeda” ou cortador de criptomoeda é usadoque examina continuamente a área de transferência da vítima por meio de uma tarefa agendada para ver se ela copiou um endereço de carteira de criptomoeda.
A ideia por trás disso, explicada Palo Altoé que se alguém copiar um endereço de carteira para a área de transferência, isso indica que eles podem estar transferindo criptomoedas de uma carteira para outra.
Assim, apontou, o malwareque eles chamam CryptoClippyprocura substituir o endereço real da carteira do usuário pelo do agente da ameaça, fazendo com que o usuário envie inadvertidamente a criptomoeda ao cibercriminoso.
A empresa informou que a equipe gerenciada de caça a ameaças de unidade 42 encontraram vítimas na manufatura, serviços de TI e imóveis, embora provavelmente tenham afetado os endereços pessoais da carteira de alguém que usa sua máquina de trabalho.
Ele acrescentou que, para que o malware entre nos computadores dos usuários, os hackers usam Google Ads e Sistemas de Distribuição de Tráfego (TDS) para redirecionar as vítimas para domínios maliciosos que se apresentam como o aplicativo da web legítimo de Whatsapp.
Eles usam esse método para garantir que as vítimas sejam usuários reais e também que falem português. Para usuários que são redirecionados para domínios maliciosos, a ameaça tenta induzi-los a baixar arquivos maliciosos, incluindo arquivos .zip ou .exe que levam à carga final.
Ele cortador de criptomoeda usa expressões regulares (regexes) para identificar a que tipo de criptomoeda o endereço pertence e, em seguida, substitui a entrada da área de transferência por um endereço de carteira visualmente semelhante, mas controlado por agente de ameaça, para a criptomoeda apropriada.
Mais tarde, quando a vítima cola o endereço da área de transferência para realizar uma transação, ela na verdade envia a criptomoeda diretamente para o invasor.
Como os endereços de carteira geralmente são muito longos, às vezes excedendo 40 caracteres alfanuméricos, muitas pessoas não perceberão essa mudança de endereço. Isso contribui para a eficiência do cortador de criptomoedas.
RMA
“Estudioso de viagens do mal. Totalmente viciado em café. Escritor. Fanático por mídia social. Estudante amigo dos hipsters.”
