HomeIdentificado novo malware que ataca usuários de criptomoedas

Identificado novo malware que ataca usuários de criptomoedas

janeiro 14, 2019 By Matheus Henrique

Uma série de malwares recentemente descobertos está atacando usuários de criptomoedas que usam o sistema Windows. O malware utiliza downloads ilegais de filmes através de torrents para ganhar acesso e infectar computadores.

O malware, que fica escondido dentro de arquivos enviados por torrent, executa uma complexa cadeia de comandos para injetar um código no Google Chrome e no Mozilla Firefox. Os comandos trocam endereços de Ethereum e Bitcoin exibidos em páginas e sites para endereços controlados pelo criador do Malware.

O software malicioso foi descoberto primeiro pelo pesquisador @0xffff0800 e investigado mais a fundo pelo site de segurança Bleeping Computer.

Como o 0xffff0800 expôs em seu Twitter, o que deveria ser um arquivo .avi é, na verdade, um .LNK, uma extensão usada pelo Windows para apontar um arquivo executável. O .LNK executa comandos através do PowerShell do Windows. A partir desses comandos, o arquivo desabilita a proteção de vírus do Windows Defender e força a instalação de extensões para o Firefox e o Chrome.

Quando qualquer um desses navegadores é aberto, as extensões maliciosas são capazes de mudar o texto de um site ou uma página sem os usuários saberem. Uma das maneiras que o malware estava roubando criptomoedas era apresentando um falso pop-up em páginas do Wikipédia que pedia por doações em ETH ou BTC.

Imagem da mensagem exibida pelo Malware. Fonte: Bleeping Computer

O outro ataque era um pouco mais discreto e prejudicial. O arquivo executava uma função chamada findAndReplaceWalletAddresses, que era capaz de detectar quando endereços de carteiras de BTC e ETH eram copiadas para a área de transferência (quando alguém usa o famoso CTRL C). Enquanto na área de transferência, o malware trocava o endereço na hora em que ele era colado.

Ou seja, o usuário colava um endereço para quem ia mandar Bitcoin ou realizar uma cobrança e o vírus trocava pelo endereço do criador o malware. Enquanto a maioria dos usuários verifica novamente as informações antes de uma transferência, quem não desconfia dessas infecções pode acabar caindo no golpe.

O endereço listado no pop-up falso da Wikipedia recebeu um total de quase R$115,00 (pela cotação no momento em que o post foi escrito). Já a conta identificada pela Bleeping Computer recebeu apenas cerca de R$50.

Porém, ambos os endereços realizaram transações para outras duas carteiras contendo $5.400 dólares e $3.134 dólares no total.

Veja a história de quando a comunidade Bitcoin enfrentou a mítica WhaleBear!