Identificado novo malware que ataca usuários de criptomoedas

Uma série de malwares recentemente descobertos está atacando usuários de criptomoedas que usam o sistema Windows. O malware utiliza downloads ilegais de filmes através de torrents para ganhar acesso e infectar computadores.

O malware, que fica escondido dentro de arquivos enviados por torrent, executa uma complexa cadeia de comandos para injetar um código no Google Chrome e no Mozilla Firefox. Os comandos trocam endereços de Ethereum e Bitcoin exibidos em páginas e sites para endereços controlados pelo criador do Malware.

O software malicioso foi descoberto primeiro pelo pesquisador @0xffff0800 e investigado mais a fundo pelo site de segurança Bleeping Computer.

Como o 0xffff0800 expôs em seu Twitter, o que deveria ser um arquivo .avi é, na verdade, um .LNK, uma extensão usada pelo Windows para apontar um arquivo executável. O .LNK executa comandos através do PowerShell do Windows. A partir desses comandos, o arquivo desabilita a proteção de vírus do Windows Defender e força a instalação de extensões para o Firefox e o Chrome.

Quando qualquer um desses navegadores é aberto, as extensões maliciosas são capazes de mudar o texto de um site ou uma página sem os usuários saberem. Uma das maneiras que o malware estava roubando criptomoedas era apresentando um falso pop-up em páginas do Wikipédia que pedia por doações em ETH ou BTC.

Imagem da mensagem exibida pelo Malware. Fonte: Bleeping Computer

O outro ataque era um pouco mais discreto e prejudicial. O arquivo executava uma função chamada findAndReplaceWalletAddresses, que era capaz de detectar quando endereços de carteiras de BTC e ETH eram copiadas para a área de transferência (quando alguém usa o famoso CTRL C). Enquanto na área de transferência, o malware trocava o endereço na hora em que ele era colado.

Ou seja, o usuário colava um endereço para quem ia mandar Bitcoin ou realizar uma cobrança e o vírus trocava pelo endereço do criador o malware. Enquanto a maioria dos usuários verifica novamente as informações antes de uma transferência, quem não desconfia dessas infecções pode acabar caindo no golpe.

O endereço listado no pop-up falso da Wikipedia recebeu um total de quase R$115,00 (pela cotação no momento em que o post foi escrito). Já a conta identificada pela Bleeping Computer recebeu apenas cerca de R$50.

Porém, ambos os endereços realizaram transações para outras duas carteiras contendo $5.400 dólares e $3.134 dólares no total.

Veja a história de quando a comunidade Bitcoin enfrentou a mítica WhaleBear!