Um novo malware Trojan de Acesso Remoto (RAT - Trojan de Acesso Remoto) que rouba dados da carteira Bitcoin (BTC) foi descoberto por pesquisadores de segurança, de acordo com um relatório de 12 de setembro do Zscaler ThreatLabZ.

O RAT, apelidado de InnfiRAT, foi projetado para executar uma ampla gama de tarefas nas máquinas infectadas, incluindo a busca específica de dados da carteira Bitcoin e Litecoin (LTC).

Um ataque multifacetado a sistemas infectados

Como observam os pesquisadores, o InnfiRAT é escrito em .NET, uma estrutura de software desenvolvida pela Microsoft e usada para desenvolver uma ampla gama de aplicativos.

O malware foi projetado para acessar e roubar dados pessoais armazenados nos computadores das vítimas - pegando cookies do navegador para roubar nomes de usuário e senhas armazenados, além de dados da sessão.

Ele também tem a capacidade de fazer capturas de tela para roubar informações de janelas abertas e vasculhar o sistema em busca de outros aplicativos em execução.

Depois de coletados, os dados são enviados para um servidor de comando e controle (C&C), solicitando mais instruções, que podem incluir o download de cargas úteis adicionais no sistema infectado.

O Zscaler ThreatLabZ detalha como o RAT foi projetado para recuperar dados da carteira Bitcoin da seguinte maneira:

“O malware cria uma lista vazia do tipo BitcoinWallet em que a BitcoinWallet tem duas chaves, a saber:

"WalletArray"

"WalletName" (Nome da carteira)

Uma verificação é realizada para verificar se um arquivo para uma carteira Litecoin ou Bitcoin está presente no sistema no seguinte local:

Litecoin:%AppData%\Litecoin\wallet.dat

Bitcoin:%AppData%\Bitcoin\wallet.dat

Se algo for encontrado, o elemento do tipo BitcoinWallet será adicionado à lista após atribuir um nome à chave WalletName e ler o arquivo da carteira correspondente na chave WalletArray.

Finalmente, a lista criada é enviada em resposta ao servidor C&C.”

Cuidado com fontes não confiáveis

Para concluir, os pesquisadores de segurança alertam para a prevalência de RATs como o InnfiRAT, que pode ser projetado não apenas para acessar e roubar dados confidenciais, mas também para registrar pressionamentos de teclas, ativar a webcam de um sistema, formatar unidades e se espalhar para outros sistemas em um determinado local na rede.

Eles observam que os sistemas geralmente são infectados por um RAT baixando aplicativos infectados ou anexos de email, alertando os usuários a não baixarem programas ou abrirem anexos de fontes desconhecidas.

Conforme relatado neste verão, o Zscaler ThreatLabZ publicou anteriormente a descoberta de outro RAT chamado Saefko, também escrito em .NET e projetado para recuperar o histórico do navegador e procurar atividades, incluindo transações de criptomoeda.