A gigante russa de segurança cibernética, Kaspersky, identificou uma nova e sofisticada campanha de ciberataques direcionados a carteiras digitais de criptomoedas. O golpe, que já está em circulação na Europa, EUA e América Latina, consegue roubar até mesmo criptomoedas armazenadas em carteiras de hardware, consideradas mais seguras do que as carteiras digitais comuns.
A investida cibernética age em cinco fases, utilizando o software malicioso DoubleFinger para baixar arquivos infectados no sistema, o programa GreetingGhoul para roubar credenciais, e o trojan Remcos (RAT) para tomar o controle do dispositivo.
Os especialistas da Kaspersky destacam a sofisticação técnica e o alto nível de conhecimento dos cibercriminosos envolvidos na operação. O golpe se inicia quando a vítima abre um arquivo PIF mal-intencionado, geralmente anexado em um e-mail, que acaba por infectar o computador com o malware DoubleFinger.
Esse malware é responsável por completar o processo de infecção a fim de driblar a detecção dos produtos de segurança.
Golpe focado em criptomoedas
Os dois primeiros estágios consistem no download de códigos não maliciosos, um em uma imagem PNG legítima e o segundo em um arquivo legítimo do Java. Separadamente, esses códigos não possuem função maliciosa.
Confira nossas sugestões de Pre-Sales para investir agora
No terceiro estágio, é aplicada uma técnica para decifrar um código. A partir deste ponto, os códigos baixados nas etapas anteriores são combinados para completar a infecção. Na quarta etapa, o malware executa um processo legítimo na memória do computador. Neste momento, o malware cria uma cópia do processo e adiciona o código malicioso compilado na etapa 3.
Por fim, na última etapa, é baixado o programa ladrão GreetingGhoul. Uma vez no sistema, este arquivo .PNG é renomeado para a extensão .exe, completando assim a infecção.
O programa GreetingGhoul possui dois componentes: o primeiro detecta a presença de carteiras digitais de criptomoedas no dispositivo infectado. Detectados os alvos, o segundo módulo cria telas que serão sobrepostas à janela do aplicativo da carteira para roubar credenciais, frases de recuperação e chaves dos ativos digitais.
A análise da Kaspersky encontrou também amostras DoubleFinger que baixaram o Remcos RAT, frequentemente usado por cibercriminosos em ataques a empresas e organizações. Este programa é usado pelos atacantes para acessar remotamente dispositivos autorizados e realizar fraudes.
“A capacidade de roubar criptomoedas em carteiras físicas e o grande interesse dos criminosos em ativos digitais são aspectos notáveis desse novo golpe. Quem deseja investir nesse mercado precisa ficar alerta, implementar medidas de segurança mais fortes e se manter informado sobre novos golpes e como evitá-los,” afirma Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.