Kaspersky: Golpistas de elite visam ladrões digitais com chaves falsas de carteiras de criptomoedas para roubar fundos

A empresa de cibersegurança Kaspersky descobriu um golpe singular que visa ladrões de criptomoedas. O esquema atrai potenciais oportunistas com carteiras de criptomoedas aparentemente carregadas, apenas para drenar seus fundos quando tentam acessar a isca. Essa estratégia engenhosa demonstra a crescente sofisticação dos cibercriminosos no espaço dos ativos digitais.

Segundo a Kaspersky, os principais golpistas estão se passando por usuários de criptomoedas ingênuos, compartilhando publicamente frases-semente (as chaves necessárias para acessar carteiras de criptomoedas) em comentários do YouTube. Esses comentários, publicados por contas recém-criadas, geralmente incluem um pedido de ajuda para transferir fundos de uma carteira que supostamente contém uma quantidade significativa de ativos. 

“Os golpistas inventaram um novo truque… Eles publicam frases-semente de carteiras de criptomoedas nos comentários do YouTube usando contas recém-criadas”, detalhou o analista da Kaspersky, Mikhail Sytnik, em uma postagem recente em seu blog.

Não há honra entre ladrões – Como funciona o golpe da chave privada

Uma carteira observada pela Kaspersky continha aproximadamente US$ 8.000 em USDT na rede Tron . Para acessar esses fundos, um ladrão precisaria primeiro enviar TRX, o token nativo do blockchain, para cobrir as taxas da rede. 

O esquema visa principalmente indivíduos que buscam explorar o suposto erro "tolo" de outros. Uma vez dentro da carteira-isca, esses ladrões digitais encontram-na repleta de USDT, um token TRC20 atrelado ao dólar americano. 

Como a carteira não possui TRX suficiente para saques, os usuários são solicitados a enviar fundos de suas próprias carteiras. Essa ação aciona o "sifão", desviando os TRX para o endereço do golpista.

Os golpistas manipularam o sistema e, assim que o TRX é enviado, ele é imediatamente redirecionado para uma carteira separada controlada pelos atacantes, deixando o ladrão de mãos vazias.

A análise da Kaspersky comparou os golpistas a Robin Hoods digitais, que visam agentes antiéticos no espaço das criptomoedas. No entanto, as vítimas finais continuam sendo aqueles que deixam a ganância superar a cautela. 

A empresa de segurança está alertando os usuários de criptomoedas para que fiquem atentos ao uso repetido de frases-sementedentem vários comentários. Isso pode ser uma operação bem planejada e coordenada para roubar seus ativos.

Campanhas fraudulentas direcionadas a usuários de criptomoedas

As descobertas da Kaspersky vão além de golpes com frases-semente. Em agosto, a Equipe Global de Resposta a Emergências (GERT) da empresadentuma campanha de fraude em larga escala direcionada a usuários de Windows e macOS em todo o mundo. 

Essa operação utiliza sites falsos sofisticados para imitar serviços legítimos, como plataformas de criptomoedas, jogos de RPG online e ferramentas de IA. Essas imitações elegantes são projetadas para atrair vítimas a compartilhar informações confidenciais ou baixar malware.

“A correlação entre as diferentes partes desta campanha e a infraestrutura compartilhada sugere uma operação bem organizada, possivelmente ligada a um único ator ou grupo com motivações financeiras específicas”, afirmou Ayman Shaaban, chefe de resposta adent da GERT da Kaspersky.

da Kaspersky, batizada de “Tusk”, revelou que a campanha inclui várias suboperações direcionadas a temas relacionados a criptomoedas, jogos e inteligência artificial. A infraestrutura maliciosa também se estende a outros 16 temas, sejam subcampanhas desativadas ou novas que ainda serão lançadas. 

Sequências de código malicioso descobertas durante a investigação revelaram comunicação entre os servidores dos atacantes em russo, com referências ao termo "Mamute" ("Мамонт"), gíria para "vítima" entre agentes de ameaças de língua russa. Essa pista linguística contribuiu para o nome da campanha.

como Danabot e Stealc, além de programas de monitoramento da área de transferência, alguns dos quais são variantes de código aberto escritas em Go. Os programas de roubo de informações extraemtrac,dentdetalhes de carteiras e outras informações sensíveis, enquanto os programas de monitoramento interceptam endereços de carteiras de criptomoedas copiados para a área de transferência, substituindo-os por maliciosos controlados pelos atacantes.