Um tipo até então desconhecido de malware de cryptojacking chamado MassJacker está mirando usuários de softwares piratas e sequestrando transações de criptomoedas substituindo endereços armazenados, de acordo com um relatório de 10 de março da CyberArk.
O malware cryptojacking se origina do site pesktop[dot]com, onde usuários que buscam baixar software pirata podem, sem saber, infectar seus dispositivos com o malware MassJacker. Após o malware ser instalado, a infecção troca endereços cripto armazenados no aplicativo da área de transferência por endereços controlados pelo invasor.
De acordo com a CyberArk, há 778.531 carteiras exclusivas vinculadas ao roubo. No entanto, apenas 423 carteiras continham criptoativos em algum momento. A quantidade total de cripto que havia sido armazenada ou transferida para fora das carteiras era de US$ 336.700 em agosto. No entanto, a empresa observou que a verdadeira extensão do roubo poderia ser maior ou menor.
Uma carteira, em particular, parecia ativa. Esta carteira continha pouco mais de 600 Solana (SOL) no momento da análise, valendo aproximadamente US$ 87.000, e tinha um histórico de manter tokens não fungíveis. Esses NFTs incluíam Gorilla Reborn e Susanoo.
Relacionado: Hackers começaram a usar IA para produzir malware
Uma olhada na carteira no explorador de blockchain da Solana, Solscan, mostra 1.184 transações desde 11 de março de 2022. Além das transferências, o proprietário da carteira se envolveu em finanças descentralizadas em novembro de 2024, trocando vários tokens como Jupiter (JUP), Uniswap ( UNI ), USDC (USDC) e Raydium ( RAY ).
Malware cripto tem como alvo uma série de dispositivos
Malwares de cripto não são algo novo. O primeiro script de cryptojacking disponível publicamente foi lançado pela Coinhive em 2017 e, desde então, os invasores têm como alvo uma variedade de dispositivos usando diferentes sistemas operacionais.
Em fevereiro de 2025, a Kaspersky Labs disse que havia encontrado malware cripto em kits de criação de aplicativos para Android e iOS. O malware tinha a capacidade de escanear imagens em busca de frases-semente de criptomoedas.
Em outubro de 2024, a empresa de segurança cibernética Checkmarx revelou que havia descoberto malware de roubo cripto em um Python Package Index , que é uma plataforma para desenvolvedores baixarem e compartilharem código. Outros malwares têm como alvo dispositivos macOS .
Relacionado: Usuários de Mac são alertados sobre o malware 'Cthulhu' que rouba carteiras de criptomoedas
Em vez de fazer com que as vítimas abram um arquivo PDF suspeito ou baixem um anexo contaminado, os invasores estão ficando mais espertos. Um novo “método de injeção” envolve o golpe do emprego falso, onde um invasor recrutará sua vítima com a promessa de um emprego .
Durante a entrevista virtual, o invasor pedirá à vítima para “consertar” problemas de acesso ao microfone ou à câmera. Esse “conserto” é o que instala o malware, que pode então drenar a carteira de criptomoedas da vítima.
O ataque “clipper”, no qual o malware altera endereços de criptomoedas copiados para uma área de transferência, é menos conhecido do que o ransomware ou malware para roubo de informações. No entanto, ele oferece vantagens para os invasores, pois opera discretamente e frequentemente passa despercebido em ambientes sandbox, de acordo com a CyberArk.