A empresa de segurança Kaspersky alertou sobre um novo malware direcionado a usuários de criptomoedas, disseminado através do site de hospedagem de software SourceForge. Em uma publicação recente, a empresa afirmou que o projeto de software no site, chamado Office Package, contém um malware de envenenamento de endereço IP direcionado a usuários de criptomoedas.
Segundo o relatório, o pacote de software Office é um projeto legítimo que contém suplementos do Microsoft Office. No entanto, uma investigação mais aprofundada revela mais sobre o pacote, pois ele contém links de download que levam a um URL diferente.
Dizia:
“O projeto em investigação recebeu o domínio officepackage.sourceforge[.]io, mas a página exibida ao acessar esse domínio não se parece em nada com o officepackage em sourceforge.net.”
Curiosamente, o processo de download do malware é bastante complexo, exigindo que os usuários acessem três URLs diferentes antes de conseguirem baixar o arquivo. Essa complexidade parece fazer parte de um esquema para enganar os usuários, fazendo-os acreditar que estão baixando um aplicativo legítimo.
Especialistas em segurança da Kaspersky observaram que o arquivo de instalação final é o installer.msi, um arquivo de 700 megabytes cujo tamanho foi inflado por criminosos virtuais para que parecesse um instalador de software autêntico. Após a remoção dos bytes desnecessários, o tamanho real é de sete megabytes.
Ao executar o instalador, os usuários instalam, sem saber, dois aplicativos maliciosos em seus dispositivos: um minerador e um ClipBanker. O ClipBanker permite o envenenamento de endereços, substituindo os endereços criptográficos copiados para a área de transferência pelos endereços do atacante, levando os usuários a enviar fundos para endereços incorretos.
Os especialistas em segurança escreveram:
“As principais ações maliciosas nesta campanha se resumem à execução de dois scripts AutoIt. O Icon.dll reinicia o interpretador AutoIt e injeta um minerador nele, enquanto o Kape.dll faz o mesmo, mas injeta o ClipBanker.”
Entretanto, eles também observaram que o ataque se concentrou principalmente em alvos russos. Indícios disso incluem a interface em russo do site officepackage.sourceforge[.]io e o fato de que 90% dos 4.604 usuários infectados pelo malware entre janeiro e o final de março são russos.
Golpes de envenenamento de endereços estão aumentando
O relatório da Kaspersky corrobora o recente aumento de ataques de envenenamento de endereços contra usuários de criptomoedas, conforme relatado por diversas empresas de segurança de blockchain. De acordo com dados da Scam Sniffer, o terceiro maiordent de phishing em março foi causado por envenenamento de endereços.
A Cyvers também relatou que os golpes de envenenamento de endereço causaram um prejuízo de mais de US$ 1,2 milhão nas três primeiras semanas de março, somando-se aos US$ 1,8 milhão de fevereiro. A empresa afirmou que seu sistema de detecção de ameaças por IAdentum aumento nos ataques de envenenamento de endereço.
Embora a maioria dos ataques de envenenamento de endereço resulte do envio manual de pequenas transações às vítimas por parte dos atacantes, utilizando endereços semelhantes aos que elas usam com frequência, o uso de malware sofisticado que permite aos atacantes alterar endereços a partir da área de transferência demonstra como os agentes maliciosos continuam a evoluir.
Especialistas em segurança acreditam que a principal solução para esse problema é os usuários evitarem baixar softwares de fontes não confiáveis. Eles observaram que criminosos geralmente exploram sites de software não oficiais para distribuir aplicativos maliciosos, e as pessoas que usam esses sites devem estar cientes desse risco.
No entanto, eles observaram que esse malware apresenta um problema ainda maior, pois oferece aos atacantes uma maneira criativa de obter acesso a sistemas infectados. Assim, existe a possibilidade de que os criadores decidam usá-lo para fins mais amplos do que atacar usuários de criptomoedas e comecem a vendê-lo para criminosos ainda mais perigosos.
