Pesquisa da Kaspersky mostra que grupo usa extensão maliciosa nos navegadores Chrome, Brave e Opera para efetuar o roubo de maneira secreta.
Extensão maliciosa nos navegadores Chrome, Brave e Opera é usada para roubar criptomoedas pela recente campanha Satacom, descoberta pela Kaspersky. Quase 30 mil internautas tiveram o malware bloqueado nos últimos dois meses pelos produtos da empresa – Brasil é o país mais afetados. Os especialistas destacam ainda as funções do malware para manter a extensão maliciosa fora de detecção, enquanto o usuário navega pelos sites de criptomoedas alvos, como Coinbase e Binance, e a capacidade de ocultar as notificações de transações enviadas à vítima, o que mantém o roubo oculto por mais tempo. Detalhes técnicos da nova campanha estão disponíveis no relatório completo publicado no Securelist.
A recente campanha de roubo de criptomoeda está vinculada ao downloader Satacom, uma conhecida família de malware ativa desde 2019 e que é disseminada principalmente por meio de anúncios falsos inseridos em sites legítimos. Os anúncios maliciosos redirecionam as vítimas para serviços falsos de compartilhamento de arquivos e outras páginas maliciosas que oferecem o download de um arquivo que contém o downloader Satacom. No caso dessa nova campanha, o arquivo baixado é a extensão maliciosa que se instala nos navegadores Chrome, Brave e Opera.
O alvo principal da campanha são os bitcoins (BTC) das vítimas que são roubados usando uma técnica de injeção de código nas páginas web legítimas de corretoras de criptomoedas, para obter todos os dados necessários para efetuar o roubo financeiro, inclusive tokens de autenticação. Os especialistas afirmam também que o malware pode ser facilmente alterado para visar outras criptomoedas. De acordo com a telemetria da Kaspersky, a maior quantidade de internautas afetados pela recente campanha está no Brasil, México, Argélia, Turquia, Índia, Vietnã e Indonésia.
Países |
Internautas afetados |
Brasil |
3.996 |
México |
2.056 |
Algélia |
1.790 |
Turquia |
1.418 |
Índia |
1.127 |
Vietnã |
1.010 |
Indonésia |
1.003 |
Ranking dos países com o maior número de internautas afetados entre abril e maio de 2023
A manipulação no navegador ocorre apenas nos sites-alvo de criptomoedas, que atualmente é direcionada aos clientes do Coinbase, Bybit, Kucoin, Huobi e Binance. Além do roubo das criptomoedas, a extensão também está preparada para oculta a fraude. Entre as ações destacam-se a ocultação das mensagens de confirmação de todas as transações e a modificação em mensagens existentes por históricos falsos – e que são muito semelhantes às comunicações oficiais.
Uma curiosidade dessa campanha é a simplificação da infecção inicial ao não precisar inserir a extensão maliciosa nas lojas oficiais de extensões, pois o downloader Satacom é o responsável pela entrega do malware. Essa dinâmica é bem-sucedida pois esse o arquivo ZIP baixado pela vítima é baixado em um site que imita portais de software e, efetivamente, instala o programa desejado – que geralmente é uma versão pirateada e gratuita. Em geral, o Satacom baixa vários arquivos na máquina da vítima. Nesse caso, os pesquisadores da Kaspersky observaram ainda um script do PowerShell que é responsável pela instalação da extensão maliciosa no navegador. A partir da infecção, a fraude ocorre em conjunto com as ações de ocultação conforme descrito anteriormente.
"Parece que os brasileiros não querem aprender que não existe almoço “grátis”, pois no país a pirataria continua sendo uma forma eficaz de infectar os dispositivos das vítimas. A primeira posição na lista de países mais afetados está aí para comprovar. Quanto aos aspectos técnicos do golpes, vale destacar que a infecção via extensão maliciosa pode afetar qualquer plataforma, seja Windows, Linux ou MacOS. Além de uma boa proteção de segurança, vale também verificar constantemente as contas on-line para ter certeza que está tudo certo”, afirma Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise para a América Latina da Kaspersky.
Para investir com mais segurança em criptomoedas, os especialistas da Kaspersky recomendam:
- Fique de olho nas mensagens falsas (phishing): os golpistas usam e-mails de phishing ou sites falsos para fazer com que as pessoas revelem seus logins e senhas. Sempre confira o endereço site e não clique em links suspeitos.
- Jamais informe suas senhas. Mesmo quando está navegando em um site legítimo, é importante proteger suas senhas. A única maneira de fazer isso é com um programa de gerenciamento de senhas.
- Se mantenha informado. Saber que um novo golpe surgiu é a maneira mais fácil de saber como evitar ser vítima dele – mas também busque ler sobre novas formas de se manter seguro na internet. Quanto mais você souber sobre proteção, mais preparado estará para evitar os ataques.
- Pesquise antes de investir. Faça uma pesquisa aprofundada sobre a empresa e a equipe por trás dela. Verifique o site, whitepaper e os canais de mídias sociais para conferir se o site é legítimo.
- Esteja protegido. Use uma solução de segurança confiável que possa bloquear novos golpes como esse. Um ótimo exemplo é o Kaspersky Premium que recentemente ganhou funções específicas para proteger quem quer investir em criptomoedas.
Todos os detalhes técnicos do malware estão disponíveis em Securelist.
Sobre a Kaspersky
A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. O seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência leva à criação contínua de soluções de segurança e serviços para proteger as empresas, infraestrutura críticas, Governos e consumidores por todo o mundo. O portfólio de segurança da empresa inclui a solução líder de proteção para endpoint e um vasto número de programas e serviços de segurança especializados – que incluem soluções de Ciberimunidade – que visam combater ameaças digitais mais sofisticadas e em permanente evolução. Atualmente, mais de 400 milhões de utilizadores estão protegidos pelas tecnologias da Kaspersky e a empresa ajuda cerca de 220.000 clientes corporativos a proteger o que lhes é mais importante. Mais informações no site.