Malware para drenar Ethereum disfarçado de bot de negociação é exposto

A SentinelLABS relatou golpes com criptomoedas que utilizam bots de negociação falsos para drenar Ethereum e outras moedas. Os golpistas supostamente usam contas antigas do YouTube e comentários estrategicamente posicionados para criar uma falsa percepção de legitimidade e atingir investidores de criptomoedas por meio de mídias sociais e distribuição de conteúdo em vídeo.

Os criminosos cibernéticos anunciam bots falsos de negociação de criptomoedas por meio de vídeos no YouTube direcionados a usuários. Os vídeos explicam como implantartracinteligentes no compilador Remix Solidity, com os golpistas apresentando essas ferramentas como bots legítimos de arbitragem ou MEV para obter lucro.

Golpistas usam vídeos do YouTube para distribuir bots falsos de negociação de MEV

Os vídeos mostram um esforço deliberado para usar contas antigas do YouTube a fim de parecerem confiáveis. Primeiro, os golpistas publicam playlists de notícias sobre criptomoedas e conteúdo fora do tópico para impulsionar a classificação das contas e fazê-las parecer fontes legítimas e confiáveis ​​sobre criptomoedas.

Muitos vídeos parecem ter sido gerados por IA com base em características de áudio e vídeo. Os narradores também têm tons de voz artificiais e olham apenas diretamente para a câmera. Ângulos de perfil não aparecem de forma consistente nessas apresentações falsas.

Normalmente, o conteúdo gerado por IA reduz custos em comparação com a contratação de atores humanos para vídeos. O vídeo de golpe mais bem-sucedido não utilizou geração por IA. Esse vídeo em particular gerou mais de US$ 900.000 em fundos roubados das vítimas.

Um canal do YouTube, @todd_tutorials, publicou instruções passo a passo para a implantação detracmaliciosos. O vídeo tornou-se privado após o início da investigação, mas apresentava características de inteligência artificial. Outro canal, @SolidityTutorials, apresentou conteúdo semelhante em apresentações de abril de 2024.

@Jazz_Braze criou o de golpe intitulado "Tutorial do MEV Bot". O vídeo obteve mais de 387.000 visualizações e parecia mais legítimo do que outros. A conta publicou quase 100 vídeos sobre cultura pop entre 2022 e 2024.

O operador da conta provavelmente construiu credibilidade ao longo do tempo por meio de uploads consistentes. Contas antigas do YouTube são vendidas por valores entre US$ 6 e milhares de dólares em canais do Telegram. As seções de comentários permanecem predominantemente positivas graças à moderação, que filtramaticos feedbacks negativos.

tracinteligentes maliciosos ocultam endereços de atacantes

inteligentes maliciosostractractractractractractractractraco Ethereum e outras redes blockchain para roubo de fundos. Os atacantes usam diferentes técnicas de ofuscação para ocultar os endereços de suas carteiras das vítimas.

O endereço da carteira controlada pelo atacante permanece oculto no código dotracinteligente, dificultando a detecção. A SentinelLABS encontrou diversos métodos de ofuscação em diferentestrac, incluindo operações XOR. A concatenação de strings e conversões para números decimais grandes também ocultam as carteiras do atacante com eficácia.

Ostracaparentam ser bots MEV legítimos que monitoram as diferenças de preços entre as corretoras. As vítimas acreditam que estão implantando ferramentas de arbitragem lucrativas para negociação automatizada.

Existem vários endereços de atacantes únicos, o que torna incerto quantos agentes estão operando. A mesma carteira apareceu consistentemente em diversostracinteligentes maliciosos.

A campanha gerou mais de US$ 900.000 em Ethereum roubado

As campanhas de golpes obtiveram diferentes graus de sucesso financeiro em diversas operações. Um golpe recente, ocorrido em abril de 2025, arrecadou 7,59 Ethereum equivalentes a aproximadamente US$ 28.000, das vítimas. O golpe do vídeo SolidityTutorials rendeu 4,19 ETH, avaliados em cerca de US$ 15.000 no total.

A campanha de vídeo de Jazz_Braze se destaca como a mais lucrativa, gerando retornos massivos. A carteira do atacante acumulou 244,9 ETH, equivalentes a aproximadamente US$ 902.000, provenientes de depósitos emtrac. Esses fundos foram posteriormente transferidos em massa para outros endereços.

Os fundos roubados foram transferidos para 24 endereços Ethereum diferentes após a coleta. Os atacantes distribuíram o dinheiro por diversas carteiras para evitar a detecção e trac. Esse padrão de distribuição sugere sofisticadas operações de lavagem de dinheiro por trás dos golpes.

Diversas campanhas têm sido realizadas desde o início de 2024, com diferentes taxas de sucesso. Os golpes continuam a visar novas vítimas por meio de plataformas de mídia social. Os atacantes manipulam as seções de comentários, apagando feedbacks negativos para manter uma falsa aparência de legitimidade.

Usuários frequentemente recorrem a plataformas como o Reddit quando comentários do YouTube são censurados.