A renomada empresa de segurança cibernética, Kaspersky, recentemente descobriu uma preocupante campanha que visa carteiras digitais de criptomoedas. Esse golpe tem se espalhado pela Europa, Estados Unidos e América Latina, representando uma ameaça significativa para os usuários de criptomoedas nesses locais.
O ataque em questão opera em cinco estágios distintos e consegue até mesmo roubar criptomoedas armazenadas em hardware wallets, que são consideradas mais seguras por serem físicas e desconectadas da internet.
Para realizar seus objetivos maliciosos, os cibercriminosos por trás desse golpe estão se valendo de uma combinação de técnicas avançadas.
O primeiro passo é a utilização do DoubleFinger, um programa que é capaz de baixar arquivos maliciosos nos sistemas infectados. Em seguida, o programa ladrão GreetingGhoul entra em ação, roubando as credenciais das vítimas. Por fim, o trojan de acesso remoto conhecido como Remcos (RAT) é utilizado para assumir o controle dos dispositivos infectados.
Os especialistas analisaram minuciosamente essas ameaças financeiras e ressaltaram tanto as técnicas avançadas empregadas quanto o alto nível de conhecimento dos criminosos por trás dessa campanha.
A sofisticação desses ataques representa uma preocupação adicional para as pessoas que utilizam carteiras digitais para armazenar suas criptomoedas.
De acordo com a investigação, a infecção tem início quando a vítima abre um arquivo PIF malicioso, anexado a um e-mail.
O arquivo infecta o computador com o programa DoubleFinger, dando início ao processo de infecção que é dividido em cinco estágios. Embora os detalhes específicos de cada estágio estejam disponíveis no blog técnico Securelist, vale ressaltar que essa divisão em cinco partes tem o intuito de evitar a detecção do malware por produtos de segurança.
Entenda os cinco estágios de infecção do novo golpe que quer roubar carteiras de criptomoedas na América Latina
Nos estágios iniciais dessa sofisticada campanha de infecção, são baixados códigos aparentemente inofensivos, mas que desempenham um papel crucial na progressão do ataque.
No primeiro estágio, um código não malicioso é baixado, mas é incorporado dentro de uma imagem PNG legítima. Isso permite que o malware passe despercebido, pois a imagem aparenta ser normal e não desperta suspeitas.
No segundo estágio, um arquivo legítimo do Java é utilizado para baixar outro código não malicioso. Separadamente, esses códigos não apresentam nenhuma ação maliciosa aparente.
O terceiro estágio é onde entra em cena a técnica de esteganografia, que envolve a leitura de códigos ocultos em imagens legítimas. Utilizando essa técnica, o malware decifra um código que foi baixado nas etapas anteriores.
Nessa etapa, os códigos baixados anteriormente são combinados para formar o conjunto completo necessário para completar a infecção.
O quarto estágio envolve uma tática conhecida como “fileless”, na qual o malware executa um processo legítimo diretamente na memória do computador, em vez de armazená-lo em arquivos no sistema.
Nesse momento, o malware faz uma cópia do processo legítimo e adiciona o código malicioso compilado na etapa anterior. Isso resulta em dois processos coexistindo na memória: um processo limpo e o outro contendo o código malicioso.
Essa abordagem dificulta a detecção por parte dos softwares de segurança, pois o malware não deixa rastros visíveis no sistema de arquivos.
No estágio final, o quinto, ocorre o download de outra imagem, porém, dessa vez, trata-se do arquivo do programa ladrão conhecido como GreetingGhoul.
Essa imagem, originalmente com a extensão .PNG, é renomeada para a extensão .exe, tornando-se um arquivo executável. Assim, a infecção é concluída e o malware está pronto para prosseguir com suas atividades maliciosas.
Executivo de segurança diz que novo golpe sofisticado é uma ameaça séria
De acordo com Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, a nova infecção em estágios deve levar os usuários de criptomoedas a reforçarem suas medidas de proteção.
“A infecção em estágios visando burlar a detecção é algo cada vez mais comum em malware ladrões (stealers). Na minha opinião, o que mais chama atenção desse novo golpe é a capacidade de roubar criptomoedas em carteiras físicas, as cold wallets ou hardware wallets que são opções bem mais seguras que as carteiras digitais comuns. Outra coisa que este golpe deixa claro é o grande interesse dos criminosos em ativos digitais, então quem quer investir nessa modalidade precisa ficar alerta, implementar medidas de segurança mais fortes e se manter informado sobre novos golpes e como evitá-los, pois fraudes sofisticadas como esta continuarão aparecendo.”
O programa ladrão GreetingGhoul é o destaque desses golpes, pois ele conta com dois componentes. O primeiro permite detectar se há aplicação de carteiras digitais de criptomoedas instalados na máquina infectada. Uma vez detectado os alvos, o segundo módulo cria telas que ficarão sobrepostas à janela da aplicação da carteira para roubar as credenciais, frases de recuperação e chaves dos ativos digitais.
Algumas medidas de segurança envolve não comprar carteiras de criptomoedas físicas de locais não oficiais. Além disso, ao receber o equipamento, os usuários devem procurar por sinais de adulteração.
Por fim, evitar o download de softwares e anexos de e-mais de fontes desconhecidas podem ajudar a coibir infecções em dispositivos.
CÒDIGO DE CONVITE: Kwai199695017