De acordo com dados mais recentes da Unit 42, unidade de Inteligência e pesquisa de ameaças da Palo Alto Networks, o Brasil ainda ocupa o primeiro lugar em golpes de ransomware na América Latina, tendo um aumento de 51% em relação ao ano passado. Agora uma nova campanha de malware direcionada aos falantes da língua portuguesa foi descoberta pelos pesquisadores. O golpe visa redirecionar a criptomoeda das carteiras dos usuários legítimos para as carteiras controladas por agentes de ameaças. Para fazer isso, a campanha usa um tipo de malware conhecido como clipper de criptomoeda, que monitora a área de transferência da vítima em busca de sinais de que o endereço de uma carteira de criptomoeda está sendo copiado.
O malware, que foi chamado de CryptoClippy, procura substituir o endereço real da carteira do usuário pelo do agente da ameaça, fazendo com que o usuário envie inadvertidamente a criptomoeda para o criminoso. Pesquisadores da Unit 42 encontraram vítimas nos setores de manufatura, serviços de TI e imóveis, e apontam que, provavelmente, tenham impactado também os endereços de carteira pessoal de pessoas que se conectam pelo computador de trabalho.
Para inserir o malware nos computadores dos usuários, os ciber atacantes usaram o Google Ads e os sistemas de distribuição de tráfego (TDS) para redirecionar as vítimas para domínios maliciosos que estão se passando pelo aplicativo WhatsApp Web legítimo.
“Eles usam isso para garantir que as vítimas sejam usuários reais e também que falem português. Para usuários que são enviados para domínios mal-intencionados, a ameaça tenta induzi-los a baixar arquivos maliciosos, incluindo arquivos .zip ou .exe, que complementam a infeção”, explica Daniel Bortolazo, Gerente de Engenharia e Arquitetura da Palo Alto Networks no Brasil.
Além disso, a variante também possui funcionalidade relacionada ao direcionamento de carteiras de criptomoedas ethereum e bitcoin, dada a crescente popularidade das moedas digitais na América Latina.
O que são Clippers de criptomoeda?
Uma infecção por CryptoClippy começa com envenenamento de SEO, de modo que, quando uma pessoa pesquisa por “WhatsApp Web”, o resultado a leva a um domínio controlado por um ator de ameaça. Uma vez lá, as vítimas são solicitadas a baixar um arquivo .zip que contém um arquivo .lnk, composto de scripts maliciosos. Esses scripts desencadeiam uma cadeia de eventos que instala o malware clipper.
Ao ser infectado com este clipper de criptomoeda, o malware passa a examinar continuamente a área de transferência da vítima por meio de uma tarefa agendada para ver se ela copiou um endereço de carteira de criptomoeda. A ideia por trás disso é que, se uma pessoa copiar o endereço de uma carteira para a área de transferência, isso indica que ela pode estar transferindo criptomoedas de uma carteira para outra. Dessa forma ele é capaz de substituir a entrada da área de transferência por um endereço de carteira visualmente semelhante, mas controlado pelo atacante, para a criptomoeda apropriada. Mais tarde, quando a vítima cola o endereço da área de transferência para realizar uma transação, na verdade ela está enviando a criptomoeda diretamente para o agente da ameaça.
“Como os endereços de carteira normalmente são muito longos, às vezes excedendo 40 caracteres alfanuméricos, muitas pessoas não percebem essa mudança de endereço, o que contribui para a eficácia do malware clipper.” ressalta Bortolazo.
Como conter os ataques
A tática provou ser furtiva e bem-sucedida, com atores de ameaças roubando o equivalente a mais de US$1.000 em Bitcoin e Ethereum até agora das carteiras das vítimas. De acordo com a Unit 42, é possível conter os ataques por meio de ferramentas que protejam os end points contra as técnicas de malware utilizadas pelos atacantes.
“É preciso que as corporações adotem medidas efetivas de cibersegurança não apenas para contenção de novos ataques que surgem ao longo do tempo, mas também para a prevenção de situações que possam trazer prejuízo à organização ou aos seus colaboradores “, conclui Bortolazo.
