A ThreatFabric, uma empresa de cibersegurança de Amsterdã especializada em ameaças ao setor financeiro, identificou o Trojan "Cerberus" que rouba códigos de autenticação de 2 fatores (2FA) gerados pelo aplicativo Google Authenticator para transações na Internet, contas de email e trocas de criptomoedas.

A Coinbase, uma troca de criptomoedas com sede nos EUA, é uma das plataformas de criptografia listadas na lista exaustiva de alvos da Cerberus - que também inclui grandes instituições financeiras ao redor do mundo e aplicativos de mídia social.

A empresa de cibersegurança observa que não identificou nenhum anúncio no dark beb para os recursos atualizados do Cerberus, levando-o a acreditar que a versão atualizada "ainda está na fase de teste, mas poderá ser lançada em breve".

Cerberus foi atualizado no começo de 2020

O relatório da ThreatFabric afirma que o Trojan de acesso remoto (RAT) "Cerberus" foi identificado pela primeira vez no final de junho, substituindo o Trojan Anubis e emergindo como um importante produto de malware como serviço.

O relatório afirma que o Cerberus foi atualizado em meados de janeiro de 2020, com a nova versão introduzindo a capacidade de roubar tokens 2FA do Google Authenticator, além de códigos PIN de bloqueio de tela do dispositivo e padrões de furto.

Uma vez instalado, o Cerberus pode baixar o conteúdo de um dispositivo e estabelecer conexões, fornecendo ao agente mal-intencionado acesso remoto completo pelo dispositivo. O RAT pode então ser usado para operar qualquer aplicativo no dispositivo, incluindo aplicativos de troca bancária e de criptomoeda.

"O recurso que permite o roubo das credenciais de bloqueio de tela do dispositivo (PIN e padrão de bloqueio) é alimentado por uma sobreposição simples que exige que a vítima desbloqueie o dispositivo. Desde a implementação do RAT, podemos concluir que esse roubo de credencial de bloqueio de tela foi construído para que os atores possam desbloquear remotamente o dispositivo, a fim de realizar uma fraude quando a vítima não estiver usando o dispositivo. Isso mostra mais uma vez a criatividade dos criminosos para criar as ferramentas certas para ter sucesso. ”

Os Trojans bancários têm como alvo cada vez mais aplicativos de carteira cripto

O relatório também examina outros dois RATs que ganharam destaque após Anubis - "Hydra" e "Gustaff".

Gustaff tem como alvo bancos australianos e canadenses, carteiras de criptomoedas e sites do governo, enquanto a Hydra recentemente expandiu seu escopo depois de direcionar principalmente para bancos turcos e carteiras de blockchain.

Incluindo Cerberus, os três Trojans têm como alvo pelo menos 26 trocas de criptomoedas e provedores de custódia. Os objetivos incluem vários líderes no setor de criptografia, incluindo Coinbase, Binance, Xapo, Wirex e Bitpay.

Mais de 20 dos alvos são fornecedores de carteiras que oferecem suporte às principais criptomoedas, incluindo Bitcoin (BTC), Ethereum (ETH), e Bitcoin Cash (BCH)

Uma defesa potencial contra o Cerberus é usar uma chave de autenticação física para impedir ataques remotos. Essas chaves exigem que um hacker tenha o dispositivo real em sua presença, o que ajuda a minimizar o risco de um ataque bem-sucedido.