Cibercriminosos tiram partido de modelo as-a-Service para expandir fraudes

A Sophos revelou que os atacantes de esquemas sha zhu pan – ou seja, que conduzem fraudes elaboradas relacionadas com romance e criptomoedas – estão a tirar partido de um modelo de negócio semelhante ao cibercrime como serviço (as-a-Service), vendendo kits para este tipo de fraudes na dark web e, assim, expandindo-se globalmente para novos mercados.

Criados por gangues de crime organizado na China, estes novos kits fornecem as componentes técnicas necessárias para implementar um esquema específico chamado “poupanças DeFi”. A Sophos detalha estas operações avançadas no seu novo artigo “Cryptocurrency Scams Metastasize Into New Forms”.

Os criminosos posicionam os golpes de poupanças DeFi como oportunidades de investimento passivo semelhantes às contas do mercado monetário, muitas vezes para pessoas que não entendem de criptomoedas. As vítimas só precisam de conectar a sua carteira de criptomoedas a uma “conta corretora”, tendo a expectativa de ganhar juros significativos com o seu investimento. Na realidade, estão a adicionar as suas carteiras a um conjunto fraudulento de negociação de criptomoedas, que os burlões depois esvaziam.

Quando este tipo de esquemas apareceu pela primeira vez, durante a pandemia de COVID-19, os seus aspetos técnicos eram ainda relativamente primitivos e exigiam muito esforço e orientação para conseguir enganar as vítimas. Agora, à medida que as burlas se tornam mais bem-sucedidas e os atacantes aperfeiçoam as suas técnicas, estamos a assistir a uma evolução semelhante à do ransomware e outros tipos de cibercrime no passado: a criação de um modelo as-a-Service. Os grupos de criminosos sha zhu pan estão a criar kits DeFi prontos a usar, que outros cibercriminosos podem comprar na dark web. Como resultado, estão a surgir – em áreas como a Tailândia, a África Ocidental e até os EUA – novas redes criminosas que não estão associadas a grupos de crime organizado chineses.

“Tal como acontece com outros tipos de cibercrime comercializado, estes kits reduzem as barreiras de entrada para os cibercriminosos interessados nos esquemas sha zhu pan e expandem enormemente o conjunto de vítimas potenciais. No ano passado, este já era um fenómeno que conseguia fraudes de vários milhares de milhões de dólares; infelizmente, é provável que o problema só cresça exponencialmente este ano”, afirmou Sean Gallagher, Principal Threat Researcher da Sophos, em comunicado.

Há dois anos que a equipa da Sophos X-Ops acompanha a evolução dos esquemas sha zhu pan. As primeiras iterações – apelidadas pela Sophos de esquemas “CryptoRom” – envolviam o contacto com potenciais vítimas através de aplicações de encontros e depois convencê-las a descarregar outras aplicações fraudulentas de negociação de criptomoedas. No caso dos utilizadores de iOS, estas fraudes exigiam que as vítimas descarregassem uma solução elaborada que permitia aos burlões contornar a segurança dos dispositivos das vítimas e obter acesso às suas carteiras.

Em 2022, os atacantes continuaram a aperfeiçoar as suas operações, encontrando formas de contornar os processos de revisão das lojas de aplicações legítimas, como a App Store da Apple e a Google Play Store, para introduzir sorrateiramente nelas as suas aplicações fraudulentas. Esse foi também o ano em que surgiu um novo padrão de fraude: falsas pools de negociação de criptomoedas (liquidity mining).

Em 2023, a Sophos X-Ops descobriu duas grandes redes sha zhu pan – uma baseada em Hong Kong e outra no Camboja. Ambas tiravam partido de aplicações legítimas de comércio de criptomoedas e criavam personas falsas elaboradas para atrair as vítimas e roubar-lhes milhões. Uma investigação mais aprofundada revelou que estes atacantes estão já a adicionar Inteligência Artificial (IA) ao seu arsenal.

No final de 2023, a Sophos X-Ops descobriu uma vasta operação de liquidity mining que envolvia três redes separadas de crime organizado chinês, visando cerca de cem vítimas. Durante a investigação desta operação, a Sophos X-Ops notou pela primeira vez a disponibilização de kits de fraude sha zhu pan.

Nas mais recentes operações que a Sophos X-Ops investigou, os atacantes removeram todos os impedimentos tecnológicos anteriores, e também reduziram significativamente a quantidade de engenharia social necessária para roubar as vítimas. Nos atuais esquemas de poupanças DeFi, as vítimas envolvem-se em negociações fraudulentas de criptomoedas através de aplicações legítimas e conhecidas e dão aos burlões (embora sem o saberem) acesso direto às suas carteiras. Para além disso, os burlões podem ocultar a rede de carteiras que lava as criptomoedas roubadas, dificultando o rastreio por parte das autoridades.