Nova Campanha de Malware espalha Trojans através de imitação de site de trading

O pesquisador de malware e usuário do Twitter, Fumik0, descobriu um novo site que espalha malware de criptomoedas, segundo um relatório da Bleeping Computer em 5 de junho.

De acordo com o relatório, o site que vem transmitindo este vírus imita o portal Cryptohopper, um site onde os usuários podem programar ferramentas para realizar transações automáticas de criptomoedas.

Quando o site do scam é visitado, ele baixa automaticamente um instalador de setup.exe, que infectará o computador assim que for executado. O painel de configuração também exibirá o logotipo do Cryptohopper em outra tentativa de enganar o usuário.

Diz-se que a execução do instalador instala um Cavalo de Troia, o  Vidar, que rouba informações e instala ainda dois trojans Qulab para mineração de criptomoeda e sequestro de área de transferência. O clipper e os mineiros são então implantados uma vez a cada minuto para coletar dados continuamente.

O próprio trojan Vidar, que rouba informações, tentará copiar os dados do usuário, como cookies do navegador, histórico do navegador, informações de pagamento do navegador, credenciais de login salvas e carteiras de criptomoedas. As informações são periodicamente compiladas e enviadas para um servidor remoto, após o qual a compilação é excluída.

Já o sequestrador de área de transferência do Qulab tentará substituir seus próprios endereços na área de transferência quando reconhecer que um usuário copiou uma sequencia que se parece com um endereço de carteira para criptomoedas. Isso permite que transações de criptoativos iniciadas pelo usuário sejam redirecionadas para o endereço do invasor.

Este sequestrador tem substituições de endereço disponíveis para ether (ETH), bitcoin ( BTC ), bitcoin cash ( BCH ), dogecoin ( DOGE ), dash ( DASH ), litecoin ( LTC ), zcash ( ZEC ), bitcoin gold ( BTG ), xrp e qtum.

Uma carteira supostamente associada ao clipper recebeu 33 BTC, ou US$ 258.335 no momento da impressão, através do endereço de substituição '1FFRitFm5rP5oY5aeTeDikpQiWRz278L45', embora isso possa não ter vindo do esquema do Cryptohopper.

Como relatado anteriormente pela Cointelegraph, uma aplicação baseada em criptomoedas no YouTube foi descoberta em maio, atraindo vítimas com a promessa de um gerador de BTC gratuito. Depois que os usuários executaram o suposto gerador BTC, que foi baixado automaticamente visitando o site associado, eles seriam infectados com um trojan Qulab. Em seguida, o trojan Qulab tentaria roubar informações dos usuários e executar um sequestrador de área de transferência para endereços de criptomoedas.