Malware se apresenta como arquivo de filme para roubar criptoativos

[et_pb_section bb_built=”1″][et_pb_row][et_pb_column type=”4_4″][et_pb_text _builder_version=”3.19.7″]

Um pesquisador de segurança informática detectou um arquivo malicioso de Windows, que se mostra como um filme na plataforma The Pirate Bay, e que é capaz de roubar criptomoedas ou colocar conteúdo prejudicial em Google, Wikipedia e Yandex. Trata-se de um arquivo de acesso direto. LNK que executa um comando de PowerShell e não conteúdo de mídia.

O programa monitora as páginas web que contenham endereços de carteiras de bitcoins e ethers, para logo substituí-los por outros que sejam do domínio do atacante, conforme uma investigação publicada por Bleeping Computer na qual destaca o seguinte:

“Pode desencadear uma série de atividades maliciosas em seu computador, como injetar conteúdo do atacante em websites de alto perfil como Wikipedia, Google e Yandex Search ou roubar criptomoedas”.

O pesquisador, identificado como 0xffff0800, descarregou os arquivos do suposto filme, mas na realidade se topou com um acesso direto.LNK que executava um comando de PowerShell. O relatório assinala que “o ícone do arquivo atraiu sua atenção, por isso o examinou através VirusTotal, um serviço de análise de antivírus”.

O resultado foi uma “peça de malware” empregada supostamente pelo grupo CozyBear que teria como objetivo atacar plataformas baseadas no sistema operativo Windows. No entanto, o estudo mostra que neste caso se tratou de um falso positivo.

AÇÃO MALICIOSA                                                                            

Ao detectar a irregularidade, se pensou que só se tratava de um malware que colocava anúncios em Google e outras páginas. Não obstante, também interfere com os resultados de buscas e nas entradas de Wikipedia. O programa também monitora o site para substituir os endereços das carteiras de bitcoins e ethers que se mostrem. Desta forma, o atacante substitui-as por endereços que ele controle.

“Para fazer isto, o malware modifica as chaves de registro para desabilitar a proteção de Windows Defender, se o antivírus de Microsoft está habilitado. Também se instala à força em Firefox uma extensão chamada ‘Proteção Firefox’ e sequestra a extensão Chrome chamada ‘Chrome Média Router’, com o ID pkedcjkdefgpdelpbcmbmeomcjbeemfm”, se pode ler na investigação.

E acrescenta-se: “Imediatamente após que se inicie o navegador, a extensão de malware se conecta a base de dados Firebase e extrai várias configurações junto com o código JavaScript para injetar em várias páginas web”.

Outra ação maliciosa do programa é que pode inserir em Wikipedia uma notificação na que se afirma, falsamente, que a plataforma aceita doações em criptomoedas como se mostra na seguinte captura.

Na mensagem se acrescentam dois endereços em bitcoins e ethers para que os usuários possam realizar as supostas doações. No momento de publicar o relatório a carteira de BTC já acumulava US$ 70, enquanto a de ethers mostrava um saldo de US$ 600. Um terceiro endereço de bitcoin se achou nos scripts descarregados pelo malware com um saldo de US$ 13.

Neste ponto é importante lembrar que os malwares e as tentativas de hackeos são comuns ao redor de bitcoin e as criptomoedas em geral. Ao tratar-se de dinheiro, terá pessoas que estejam dispostas a subtraí-los. É por isso que as recomendações para minimizar os riscos incluem instalar um antivírus e o mantê-los atualizado, bem como o sistema operativo.

Outra recomendação é não abrir os arquivos adjuntos que provenham de correios eletrônicos não confiáveis e evitar descarregar programas desde páginas web que não sejam oficiais das casas de software. Também é importante manter respaldada a informação do sistema e bloquear qualquer porto que não se esteja utilizando. Existem muitas formas na que os hackers podem roubar as criptomoedas, pelo que tomar medidas adicionais de segurança serão uma boa decisão.

Imagem destacada por YakobchukOlena / stock.adobe.com

Traduzido de: CriptoNoticias

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]