Armadilha de criptomoedas para os gananciosos, ou: como roubar de um ladrão

Passamos vários meses pesquisando um novo e sofisticado golpe de criptomoeda. Nele, as vítimas foram lenta e habilmente incentivadas a instalar um aplicativo malicioso de gerenciamento de criptomoedas. No entanto, as pessoas que foram enganadas não eram vítimas inocentes, porque os operadores do golpe, agindo como alguns Robin Hoods digitais, tinham outros ladrões como alvo. Vamos analisar em profundidade esse golpe e aprender como proteger sua carteira de criptomoedas.

A isca inicial

Tudo começou quando recebi no Telegram uma mensagem bastante comum sobre criptomoedas. Outros poderiam tê-la ignorado, mas como líder da equipe de analistas de conteúdo da Web da Kaspersky, notei algo suspeito e decidi investigar. Para evitar a detecção, a mensagem continha um videoclipe de cinco segundos, com uma captura de tela mostrando uma venda apressada e com grandes descontos de dois lucrativos projetos de criptomoedas, com os respectivos links para eles. Para criar uma falsa sensação de segurança, o primeiro link direcionou os destinatários para uma transação real de segundo nível, de pequeno valor. A verdadeira isca estava escondida no outro link.

A captura de tela do anúncio de venda do projeto de criptomoedas estava inserida em um videoclipe de cinco segundos. Essa é uma bandeira vermelha!

Um conveniente mau funcionamento do servidor

Ao contrário do que se poderia esperar, o link não tinha nenhum conteúdo malicioso. A coisa era muito mais interessante: se você digitasse o endereço esperando ver uma página inicial, o navegador exibia uma listagem de diretórios raiz com alguns nomes de arquivo atraentes. Aparentemente, o servidor havia sido configurado incorretamente ou a página inicial havia sido excluída acidentalmente, revelando todos os dados do desavisado proprietário do domínio. Era possível clicar em qualquer arquivo na lista e visualizar o conteúdo diretamente no navegador, porque, convenientemente, todos eles tinham formatos comuns e fáceis de manusear, como TXT, PDF, PNG ou JPG.

Era possível ver uma lista de arquivos na pasta raiz. Não havia um único arquivo HTML

Isso dava ao visitante a sensação de estar dentro da pasta de dados pessoais de um proprietário rico, mas estúpido, de um projeto de criptomoedas. Os arquivos de texto continham detalhes da carteira, incluindo frases-semente, e as imagens eram capturas de tela mostrando comprovantes de uma grande quantidade de criptomoedas sendo enviadas com sucesso, saldos substanciais nas carteiras e o estilo de vida luxuoso do proprietário.

O arquivo de texto continha endereços, logins, senhas, frases-semente, chaves de recuperação, PINs e chaves privadas cuidadosamente coletados

Uma das capturas de tela tinha um vídeo do YouTube em segundo plano, explicando como comprar iates e Ferraris com Bitcoin. Um catálogo em PDF desses iates podia ser facilmente encontrado no mesmo diretório. Em poucas palavras, era uma isca realmente suculenta.

A tela mostrava um snapshot da vida de um rico que não trabalha. Então, qual é a MANEIRA CORRETA de comprar uma Ferrari e um iate com Bitcoin?

Carteiras reais e dinheiro

A inteligência nesse golpe é que os detalhes da carteira são reais e é possível acessar as carteiras e visualizar, digamos, o histórico de transações da carteira Exodus ou os ativos em outras carteiras, no valor de quase 150 mil dólares, de acordo com o DeBank.

A carteira Exodus está vazia, mas é real, e alguém a usou recentemente

Mas não deveria ser possível de sacar nada, pois os fundos estavam bloqueados, ou seja, vinculados à conta. No entanto, isso faz com que o visitante se torne muito menos cético: isso parece simplesmente ser o vazamento descuidado de dados reais de alguém, e não spam ou phishing. Além disso, não havia links externos ou arquivos maliciosos em qualquer lugar, nada para suspeitar!

As quantias nas outras carteiras eram grandes. Pena que os fundos estavam apostados (bloqueados)

Monitoramos o site por dois meses, sem notar alterações. Os golpistas pareciam aguardar a concentração de um grande número de interessados, enquanto monitoravam o comportamento deles por meio de análise de servidor Web. Foi somente após esse longo período que eles prosseguiram para a próxima etapa do ataque.

Uma nova esperança

A dramática pausa de dois meses finalmente terminou com uma atualização: uma nova captura de tela do Telegram supostamente mostrando um pagamento bem-sucedido do Monero. Se olharmos mais de perto a captura de tela, veremos um aplicativo de carteira “Electrum-XMR” com um registro de transações e um saldo considerável de quase 6 mil tokens Monero (XMR), no valor de cerca de um milhão de dólares no momento da publicação deste artigo.

A fase ativa começava: uma carteira aparentemente contendo cerca de um milhão de dólares

Por uma feliz coincidência, um novo arquivo de texto com a frase-semente para a carteira aparecia ao lado da captura de tela.

A frase-semente para a carteira foi a isca

Nesse ponto, qualquer pessoa desonesta o suficiente se apressou para baixar uma carteira Electrum para fazer login na conta da vítima descuidada e pegar o dinheiro restante. Má sorte: a Electrum é compatível apenas com Bitcoin, não Monero, e uma chave privada (e não uma frase-semente) é necessária para recuperar o acesso à conta. Ao tentar restaurar a chave da frase-semente, todos os conversores legítimos informavam que o formato da frase-semente era inválido.

No entanto, a ganância estava prejudicando o julgamento dos usuários: afinal, havia um milhão de dólares em jogo, e eles precisavam agir antes que alguém roubasse esse valor. Os trapaceiros, que queriam um dinheiro fácil, foram pesquisar “Electrum XMR” ou simplesmente “Electrum Monero” no Google. Seja como for, o principal resultado era um site aparentemente sobre um fork (um código modificado) do Electrum compatível com o Monero.

A versão “certa” da carteira aparecia na parte superior dos resultados da pesquisa

Seu design era semelhante ao do site original do Electrum e, na forma típica de código aberto, apresentava todos os tipos de descrições, links para o GitHub (o repositório original do Electrum, no entanto, não o Electrum-XMR), uma nota que informava explicitamente que se tratava de fork compatível com Monero, além de links diretos úteis para instaladores macOS, Windows e Linux.

O site do aplicativo de carteira falso foi muito bem construído

E é nesse momento que o caçador involuntariamente se torna a presa. Baixar e instalar o Electrum-XMR infecta o computador com o malware identificado pela Kaspersky como Backdoor.OLE2.RA-Based.a, que fornece aos invasores acesso remoto secreto. O próximo passo era, provavelmente, verificar o conteúdo da máquina e roubar dados de carteiras de criptomoedas e qualquer outra informação valiosa.

Nossa solução de segurança teria bloqueado o site malicioso, e certamente uma tentativa de instalar o Cavalo de Troia, mas os caçadores de criptomoedas ansiosos por colocar as mãos no dinheiro de outras pessoas dificilmente estariam entre nossos usuários.

Nossa segurança bloqueia o site malicioso e certamente uma tentativa de instalar o Cavalo de Troia

De repente, uma segunda iteração

Algum tempo depois, quando terminamos de investigar esse feito de engenharia social, recebemos outra isca, o que não foi uma surpresa. Desta vez, os golpistas mudaram de uma abordagem lenta para um ritmo rápido. A captura de tela mostrava uma carteira falsa com um grande saldo ao lado de um arquivo de texto aberto contendo muitas informações pessoais, além de um link para um site malicioso cuidadosamente adicionado. Parece que esse golpe aparentemente funcionou bem, e estamos prestes a receber muitos ataques semelhantes.

Na versão dois, os golpistas foram direto ao assunto, coletando todas as informações relevantes em uma captura de tela

Reconhecendo o ataque

As vítimas do golpe que discutimos acima não evocam nenhuma simpatia, considerando que morderam a isca tentando roubar o dinheiro de outras pessoas. No entanto, os golpistas continuam inventando novos truques e, da próxima vez, você poderia receber uma maneira bastante ética de ganhar dinheiro. Por exemplo, você pode acidentalmente obter uma captura de tela anunciando uma lucrativa distribuição airdrop de criptomoedas, com o link na barra de endereços…

Portanto, fique alerta e receba qualquer informação com grande ceticismo. Cada fase no ataque era suspeita à sua maneira. O anúncio de venda no site era apresentado na forma de um videoclipe com uma captura de tela, obviamente para contornar algoritmos antispam. Um site contendo nada além de arquivos de texto não criptografados com dados de carteiras de criptomoedas parecia bom demais para ser verdade. O domínio que supostamente hospedava o fork da carteira de criptomoedas havia sido registrado apenas dois meses antes do ataque. No entanto, o mais importante é que o cenário de criptomoedas repleto de fraudes torna o uso de aplicativos de carteira pouco conhecidos um risco inaceitável. Portanto, siga estas etapas:

• Use apenas os principais aplicativos de carteiras de criptomoedas e sites de câmbio testados e aprovados.
• Verifique cuidadosamente se você está fazendo login somente por meio de sites oficiais e baixando aplicativos das fontes corretas.
• Leia nossas dicas para detectar golpistas on-line.
• Use proteção abrangente para computadores e smartphone que impedirá o acesso a sites de phishing ou que executam malware.
• Assine nosso blog e/ou canal do Telegram para estar entre os primeiros a saber sobre novas ameaças.