Os pesquisadores de segurança cibernética descobriram uma operação de malware de um ano que tem como alvo usuários cripto com a criação de uma série de aplicativos falsos.

A empresa de segurança Intezer Labs alertou que os preços cada vez maiores das criptomoedas aumentaram a atividade entre hackers e agentes mal-intencionados em busca de ganhos financeiros. O malware foi disseminado no ano passado, mas só foi descoberto em dezembro de 2020.

O novo trojan de acesso remoto (RAT), apelidado de ElectroRAT, foi usado para esvaziar as carteiras de criptomoedas de milhares de usuários do Windows, macOS e Linux, acrescentou o relatório.

Três aplicativos relacionados à criptomoedas foram implantados no ataque - Jamm, eTrade/Kintum e DaoPoker - foram todos hospedados em seus próprios sites. Os dois primeiros são aplicativos falsos de negociação de criptomoedas, enquanto o terceiro é baseado em jogos de azar.

O malware ElectroRAT escondido dentro desses aplicativos é extremamente intrusivo de acordo com os pesquisadores;

“Ele tem vários recursos, como captura das teclas digitadas, captura de tela, upload de arquivos do disco, download de arquivos e execução de comandos no console da vítima.”

Depois de serem iniciados no computador da vítima, os aplicativos mostram uma interface de usuário em primeiro plano projetada para desviar a atenção dos processos maliciosos em segundo plano. Os aplicativos foram promovidos usando plataformas de mídia social Twitter e Telegram, além de fóruns focados em criptomoedas, como Bitcointalk.

O Intezer Labs estimou que a campanha já infectou “milhares de vítimas” que tiveram suas carteiras de criptomoedas esvaziadas. Ele acrescentou que havia evidências de que algumas vítimas que foram comprometidas pelos aplicativos estavam usando carteiras populares, como a MetaMask.

O malware foi escrito em uma linguagem de programação multiplataforma chamada Golang, que o torna mais difícil de detectar. A empresa de segurança afirmou que era incomum ver um RAT projetado para roubar informações pessoais de usuários de criptomoedas que foi escrito do zero, acrescentando;

“É raro ver uma campanha tão ampla e direcionada que inclua vários componentes, como aplicativos e sites falsos, e esforços de marketing/promoção por meio de fóruns relevantes e mídia social”.

Houve uma série de casos em 2020 em que versões falsas de aplicativos legítimos e extensões de navegador, como MetaMask ou Ledger, chegaram aos computadores das vítimas. Isso pode estar relacionado à violação maciça de dados da Ledger em meados de dezembro.

Em setembro de 2020, os usuários da Coinbase estavam entre as vítimas de um novo malware para Android disseminado pela Google Play Store.

 

Leia mais: