Novo malware rouba 400 mil dólares em criptomoedas

Os investigadores da Kaspersky descobriram uma campanha contínua de roubo de criptomoedas que afeta mais de 15 mil utilizadores em 52 países. Distribuído através de um Tor Browser falso, o malware Clipper substitui uma parte do conteúdo da área de transferência do computador (clipboard) da vítima pelo endereço da carteira de criptomoedas do próprio cibercriminoso, quando detetada este tipo de informação na referida área de transferência. 

Embora esta técnica exista há mais de uma década e tenha sido originalmente utilizada por trojans bancários para substituir números das contas bancárias, com o aumento das criptomoedas, este novo tipo de malware está agora a visar ativamente os proprietários e traders destes ativos.

Um desenvolvimento recente deste malware envolve a utilização do Tor Browser, uma ferramenta utilizada para aceder à deeper web. A vítima descarrega uma versão trojan do Tor Browser a partir de terceiros, que contém um arquivo RAR protegido por palavra-passe, cujo objetivo é evitar a deteção por soluções de segurança. Uma vez dentro do sistema do utilizador, o ficheiro regista-se no arranque automático do sistema e disfarça-se sob o ícone de uma aplicação popular, como o uTorrent.

As tecnologias da Kaspersky detetaram mais de 15 mil ataques que utilizaram clipboards injetores de malware para atacar criptomoedas como a Bitcoin, Ethereum, Litecoin, Dogecoin e Monero. Estes ataques espalharam-se por, pelo menos, 52 países em todo o mundo, com a maioria das deteções registadas na Rússia, visto os utilizadores descarregarem o Tor Browser a partir de websites de terceiros, uma vez que o navegador está oficialmente bloqueado no país. Os dez países mais afetados incluem também os Estados Unidos da América, Alemanha, Uzbequistão, Bielorrússia, China, Países Baixos, Reino Unido e França. Isto significa que o número real de infeções pode ser muito mais elevado do que o relatado.

Com base na análise das amostras existentes, a perda estimada para os utilizadores é de pelo menos 400 mil dólares, mas o montante real roubado poderá ser muito maior, uma vez que esta investigação se centra apenas no uso abusivo do Tor Browser. Outras campanhas podem utilizar diferentes métodos de entrega do software e malware, bem como outros tipos de carteiras.

“Apesar da simplicidade dos ataques através do Tor Browser falso, este esquema é mais perigoso do que parece. Não só leva a transferências de dinheiro irreversíveis, como também é passivo e difícil de detetar por um utilizador regular. A maioria do malware requer um canal de comunicação entre o operador do malware e o sistema da vítima. Já os injetores de clipboard podem permanecer em silêncio durante anos, sem qualquer atividade de rede ou outros sinais de presença até ao dia em que substituem um endereço da uma carteira de criptomoedas”, afirma Vitaly Kamluk, Head of APAC Unit, Global Research & Analysis Team da Kaspersky.