Como um simples CTRL-C CTRL-V pode roubar seus Bitcoins

Usuários no BitcoinTalk relataram problemas com malwares instalados furtivamente nos computadores das vítimas.  Usando os clássicos CTRL-C e CTRL-V para roubar os Bitcoins das vítimas, um novo tipo de ataque de ransomware levantou bandeiras vermelhas entre a comunidade e as empresas de segurança digital, tal como a ESET que rastreou diversos ataques utilizando essa técnica. 

Os ransomwares ficam escaneando todas as ações via teclado, e quando os comandos Ctrl + C (copiar) e Ctrl + V (colar) são acionados, o endereço final da carteira do destinatário é alterado, pois há mais casos de infecções por malware que podem alterar os endereços das carteiras dos destinatários para os de fraudadores.

Embora seja um malware relativamente novo, a taxa de disseminação é preocupante. Até mesmo sites conhecidos que hospedam software, como download.cnet.com, contêm aplicativos onde esse malware pode ser injetado junto com os aplicativos, segundo a ESET. 

imagem: ESET

A ESET detecta o aplicativo trojanizado como uma variante do MSIL / TrojanDropper.Agent.DQJ de 2018 e que já foi atualizado pelos hackers para variantes mais recentes de trojans que capturam comandos na área de transferência do Windows. O programa foi baixado da CNET 311 4.500 vezes no total.

O malware que troca o endereço das carteiras

O malware que usa esse truque não é novo, mas o exemplo que estamos vendo aqui é um grande lembrete de como se deve ter cuidado ao copiar e colar texto quando se tem wallets instaladas no computador.

Os dois principais malwares em questão são: Win32/ClipBanker.DY e o MSIL/ClipBanker.DF Quer se trate de endereços de criptomoedas, detalhes de cartões de pagamento, números de identificação ou outros trechos de informações pessoais, ambos os malwares furtivamente altera os dados na área de transferência para pagar as pessoas erradas. A plataforma alvo desses ataques é o Windows 10.

Uma razão para isso é o fato de que o sistema operacional da Microsoft carrega uma assistente de voz conhecida como Cortana, que funciona como um registrador de teclado irremovível que armazena informações do usuário na nuvem da Microsoft.

Em fevereiro de 2019, especialistas da Eset descobriram um novo aplicativo malicioso disfarçado como a carteira MetaMask e foi encontrado na loja de aplicativos do Google Play.

• Caça ao tesouro? Traders escondem criptomoedas de graça em mais de 100 cidades no Brasil

O objetivo deste aplicativo era roubar dados necessários para obter acesso às carteiras Ethereum dos usuários. Em particular, ele pode substituir endereços de carteiras copiados para a área de transferência por endereços de hackers.

Em uma postagem relacionada, um usuário do BitcoinTalk afirmou que o malware muda o endereço para um endereço de propriedade do hacker depois que o usuário seleciona um endereço Bitcoin e pressiona o CTRL-C para copiá-lo. Eles perdem o dinheiro que enviam ao pressionar CTRL-V (colar) porque, sem que eles tenham conhecimento, o malware já mudou o endereço para o do fraudador. De acordo com a postagem,

“Mesmo se você verificar parte do endereço Bitcoin colado, é provável que os primeiros caracteres sejam os mesmos e você ainda não perceberá que o endereço foi alterado.”

imagem: Bitcointalk

Qualquer diferença entre o endereço para o qual os usuários desejam enviar as criptomoedas resultará na perda de fundos assim que o usuário pressionar o botão enviar. Além disso, alguns usuários no BitcoinTalk sugeriram que se adote o Linux como opção melhor para quem armazena suas criptomoedas em softwallets para desktop, tais como a Electrum ou a Exodus. Visto que as vulnerabilidades presentes no Windows estão sempre sendo exploradas pelos hackers.

• Bitcoin pode sofrer grande volatilidade de preços no início de dezembro - Aqui está o motivo

Outros trojans para roubo de dados bancários

De acordo com o estudo do Group-IB, o ransomware é conhecido como ProLock e conta com o trojan bancário Qakbot - que interfere na configuração de um protocolo de área de trabalho remota e rouba credenciais de login -, que vêm sendo usados para ataques na qual se pede resgate de seis dígitos em dólares pagos em BTC para descriptografar os arquivos pessoais da vítima.

• Coreia do Norte executa trader em cenário de repressão às transações estrangeiras

O FBI detalhou que o ataque ProLock inicialmente tem acesso às redes de vítimas através de e-mails de phishing que geralmente entregam documentos do Microsoft Word. 

Leia Mais:

• 'Conteúdo e plataformas digitais financeiras levaram a bolsa a 3 milhões de investidores', diz diretor da B3

• O UnionBank, sediado nas Filipinas, conclui um piloto de remessas de blockchain

• Grande trader de Bitcoin 'defende' preço de US$ 7.200 com 800 BTC para ganhar US$ 0,01 em DOGE