A Kaspersky descobriu uma nova e sofisticada campanha visando carteiras digitais de criptomoedas. O golpe está em circulação na Europa, EUA e agora também na América Latina. O ataque atua em cinco estágios e consegue roubar até mesmo criptomoedas armazenadas em hardware wallet – que de certa forma é uma carteira física ou uma carteira desconectada da internet, e que são mais seguras que as carteiras digitais comuns.
O golpe utiliza o malware DoubleFinger para baixar arquivos maliciosos no sistema infectado, o programa ladrão GreetingGhoul para roubar credenciais e o trojan de acesso remoto Remcos (RAT) para ter controle do dispositivo infectado. A análise dos especialistas da Kaspersky destaca as técnicas avançadas e o alto nível de conhecimento desses cibercriminosos que desenvolveram essas ameaças financeiras.
A investigação da Kaspersky mostra que a infecção começa quando a vítima abre um arquivo PIF malicioso, anexo em um e-mail, que irá infectar o computador com a praga do DoubleFinger. Esse programa será responsável por completar o processo de infecção – que está dividido em cinco estágios.
Os detalhes de cada estágio estão disponíveis no blog técnico Securelist, mas de uma maneira mais simples, a infecção foi dividida em cinco partes para evitar a detecção do malware pelos produtos de segurança.
Os 5 estágios da infecção
Nos dois primeiros estágios, códigos não maliciosos são baixados: primeiro dentro de uma imagem PNG legítima e o segundo em um arquivo legítimo pertencente ao Java. Separados esses códigos não possuem ação maliciosa.
Na terceira etapa, é usado a técnica de esteganografia – que é a leitura de códigos em imagens legítimas, para decifrar um código. Ao final, nessa etapa se junta os códigos baixados nas etapas anteriores para completar a infecção.
Já na quarta etapa, o malware executará um processo legítimo na memória do computador (técnica fileless). Neste momento, o malware faz uma cópia do processo e adiciona o código malicioso compilado na etapa 3. Dessa forma, os dois processos ficam salvos na memória: o limpo e o malicioso.
Na última etapa, outra imagem é baixada, mas este arquivo é o programa ladrão GreetingGhoul. Uma vez no sistema, este arquivo .PNG é renomeado para a extensão .exe (um arquivo executável). E a infecção é finalizada.
O ataca com o programa ladrão
O programa ladrão GreetingGhoul é o destaque desses golpes, pois ele conta com dois componentes. O primeiro serve para detectar se há aplicação de carteiras digitais de criptomoedas instalados na máquina infectada.
Uma vez detectado os alvos, o segundo módulo cria telas que ficarão sobrepostas à janela da aplicação da carteira para roubar as credenciais, frases de recuperação e chaves dos ativos digitais.
Além do ladrão GreetingGhoul, a Kaspersky encontrou também amostras DoubleFinger que baixaram o Remcos RAT – um programa de acesso remoto (RAT) comercial e frequentemente usado por cibercriminosos em ataques direcionados contra empresas e organizações. Neste caso, o grupo usa esse recurso para burlar os apps de carteira digitais que funcionam apenas em computadores previamente autorizados, pois os atacantes realizam o acesso remoto a esses dispositivos autorizados e efetuam as fraudes neles.
“A infecção em estágios visando burlar a detecção é algo cada vez mais comum em malware ladrões (stealers). Na minha opinião, o que mais chama atenção desse novo golpe é a capacidade de roubar criptomoedas em carteiras físicas, as cold wallets ou hardware wallets que são opções bem mais seguras que as carteiras digitais comuns. Outra coisa que este golpe deixa claro é o grande interesse dos criminosos em ativos digitais, então quem quer investir nessa modalidade precisa ficar alerta, implementar medidas de segurança mais fortes e se manter informado sobre novos golpes e como evitá-los, pois fraudes sofisticadas como esta continuarão aparecendo”, afirma Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Recomendações para maners seus criptoativos seguros
Para manter criptoativos seguros, os especialistas da Kaspersky também recomendam:
- • Adquira produtos oficiais: compre apenas hardware wallets de fontes oficiais e confiáveis, como o site do fabricante ou revendedores autorizados. E você nunca deve preencher sua frase de recuperação (recovery seed) no computador. O fabricante da hardware wallet nunca pedirá isso.
- • Verifique se há sinais de adulteração: antes de usar uma nova hardware wallet, verifique se há sinais de adulteração, como arranhões, cola ou componentes incompatíveis.
- • Verifique o firmware: sempre verifique se o firmware na hardware wallet é legítimo e está atualizado. Isso pode ser feito verificando o site do fabricante para obter a versão mais recente.
- • Proteja sua seed frase: ao configurar a hardware wallet, armazene com segurança sua frase-semente. Uma solução de segurança confiável, como o Kaspersky Premium, protegerá seus ativos criptográficos armazenados em seu celular ou PC.
- • Use uma senha forte: se sua hardware wallet permitir uma senha, use uma combinação forte e exclusiva. Evite usar senhas fáceis de adivinhar ou reutilizar senhas de outras contas.
(*) HOMEWORK inspira transformação no mundo do trabalho, nos negócios, na sociedade. É criação da Compasso, agência de conteúdo e conexão.