Malware sequestra transações, rouba Bitcoin e minera ETH e XMR
14 de setembro de 2020Um grupo de pesquisadores descobriu uma nova ameaça, um malware, que pode afetar os usuários de Bitcoin e criptomoedas
Trata-se de uma família de malwares que foi identificada pela empresa de segurança cibernética ESET.
Assim, o KryptoCibule (‘crypto onion em tcheco), como foi chamado, usa os recursos dos computadores das vítimas para minerar Monero (XMR) e Ethereum (ETH).
Malware de ameaça tripla
De acordo com as informações publicadas no blog da ESET em 2 de setembro, o KryptoCibule representa uma ameaça tripla aos usuários de criptomoedas.
Isso porque, além de executar mineração maliciosa (cryptojacking), ele sequestra transações e rouba arquivos relacionados a criptomoedas.
Primeiro, os hackers assumem o controle de muitas das funções do computador infectado. Em seguida, eles interceptam as transações procurando por senhas salvas no dispositivo.
Com isso, sequestram a área de transferência e substituem os endereços de carteira por endereços controlados pelo operador do malware.
Desta forma, o que o programa malicioso faz é redirecionar as transações feitas pela vítima para as carteiras dos hackers.
Para isso, ele usa a função AddClipboardFormatListener. Essa ferramenta monitora as alterações da área de transferência e aplica regras de substituição.
Roubando Bitcoins
Além disso, o malware pode filtrar arquivos relacionados a Bitcoins e criptomoedas para roubar as carteiras das vítimas.
Esse procedimento é feito por meio de uma varredura pelo sistema de arquivos de cada unidade disponível no hardware.
Com isso, são pesquisados os nomes que contenham determinados termos relacionados às criptomoedas e realizada a “exfiltração”.
A pesquisa indica ainda que, com suas atualizações mais recentes, o KryptoCibule pode executar cryptojackin, minerando Monero usando a CPU do hardware infectado através do programa de código aberto XMRig.
Por outro lado, também pode fazer mineração maliciosa de ETH se uma GPU dedicada estiver disponível, usando o Kawpowminer.
Ambos os programas são configurados para se conectar a um servidor de mineração controlado por hacker no proxy Tor.
Segundo a empresa, as carteiras usadas para o sequestro da área de transferência já haviam recebido pouco mais de US$ 1.800 em Bitcoin e ETH.
Fonte: CriptoFacil
Nova versão do Qbot aparece pela primeira vez na lista de malware da Check Point
Nova Pesquisa: Ataques de malware direcionados às Américas aumentam drasticamente