A Darktrace alerta para fraudes de engenharia social que utilizam malware para roubar criptomoedas.

Pesquisadores da empresa de cibersegurança Darktrace alertaram que atores de ameaças estão usando táticas de engenharia social cada vez mais sofisticadas para infectar vítimas com malware de roubo de criptomoedas.

No seu último blog, os investigadores da Darktrace detalharam uma elaborada campanha em que os golpistas se faziam passar por startups de IA, jogos e Web3 para enganar os utilizadores a descarregar malware.

O esquema baseia-se em contas X verificadas e comprometidas, assim como em documentação de projetos hospedada em plataformas legítimas, para criar uma ilusão de legitimidade.

De acordo com o relatório, a campanha geralmente começa com impostores a contactar potenciais vítimas no X, Telegram ou Discord. Fazendo-se passar por representantes de startups emergentes, oferecem incentivos como pagamentos em criptomoeda em troca de testes de software.

As vítimas são então direcionadas para sites de empresas polidos, projetados para imitar startups legítimas, completos com whitepapers, roadmaps, entradas no GitHub e até lojas de mercadorias falsas.

Uma vez que um alvo descarrega a aplicação maliciosa, uma tela de verificação da Cloudflare aparece, durante a qual o malware recolhe silenciosamente informações do sistema, como detalhes da CPU, endereço MAC e ID do utilizador. Esta informação, juntamente com um token CAPTCHA, é enviada para o servidor do atacante para determinar se o sistema é um alvo viável.

Se a verificação for bem-sucedida, uma carga útil de segunda fase, tipicamente um ladrão de informações, é entregue de forma furtiva, que então extrai dados sensíveis, incluindo credenciais de carteira de criptomoeda.

As versões do malware para Windows e macOS foram detectadas, com algumas variantes do Windows conhecidas por usarem certificados de assinatura de código roubados de empresas legítimas.

De acordo com a Darktrace, a campanha assemelha-se às táticas utilizadas por grupos "traffer", que são redes de cibercriminosos especializadas em gerar instalações de malware através de conteúdo enganoso e manipulação de redes sociais.

Embora os atores da ameaça permaneçam não identificados, os pesquisadores acreditam que os métodos usados são consistentes com aqueles vistos em campanhas atribuídas ao CrazyEvil, um grupo conhecido por atacar comunidades relacionadas com criptomoedas.

“CrazyEvil e suas subequipes criam falsas empresas de software, semelhantes às descritas neste blog, utilizando o Twitter e o Medium para almejar vítimas,” escreveu a Darktrace, acrescentando que o grupo é estimado em ter gerado “milhões de dólares em receita com sua atividade maliciosa.”

Uma ameaça recorrente

Campanhas de malware semelhantes foram detectadas em várias ocasiões ao longo deste ano, com uma operação ligada à Coreia do Norte que utilizava atualizações falsas do Zoom para comprometer dispositivos macOS em empresas de criptomoedas.

Os atacantes estavam supostamente a implantar uma nova variante de malware chamada "NimDoor", entregue através de uma atualização de SDK malicioso. O payload em múltiplas etapas foi projetado para extrair credenciais de carteiras, dados de navegadores e arquivos criptografados do Telegram, mantendo a persistência no sistema.

Em outra instância, o infame grupo de hackers norte-coreano Lazarus foi encontrado fazendo-se passar por recrutadores para almejar profissionais desavisados usando uma nova variante de malware chamada “OtterCookie,” que foi implantada durante sessões de entrevistas falsas.

No início deste ano, um estudo separado da empresa de forense em blockchain Merkle Science descobriu que os golpes de engenharia social estavam a direcionar-se principalmente a celebridades e líderes tecnológicos através de contas X pirateadas.