Um malware infectou dezenas de milhares de usuários para assumir o controle de seus dispositivos para minerar e tentar roubar criptomoedas — mas acabou arrecadando apenas cerca de US$ 6.000.

A empresa de segurança cibernética Doctor Web relatou em 8 de outubro que detectou malware se disfarçando de software legítimo, como programas de escritório, cheats de jogos e bots de negociação online.

O software de roubo e sequestro de criptomoedas infectou mais de 28.000 usuários, principalmente na Rússia, mas também na Bielorrússia, Uzbequistão, Cazaquistão, Ucrânia, Quirguistão e Turquia.

Os hackers só conseguiram obter cerca de US$ 6.000 em criptomoedas, de acordo com o Doctor Web. No entanto, não se sabe quanto o criador do malware pode ter ganho com a mineração de criptomoedas.

A empresa de segurança cibernética disse que as fontes do malware incluíam páginas fraudulentas do GitHub e descrições de vídeos do YouTube com links maliciosos.

Depois que um dispositivo é infectado, um software implantado furtivamente sequestra recursos de computação para minerar criptomoedas.

Um “Clipper” também monitora endereços de carteiras de criptomoedas que os usuários copiam para a área de transferência de seus dispositivos, e o malware os substitui por endereços controlados pelo invasor — que é como eles roubaram uma pequena quantia de criptomoedas.

Cadeia de ataque de malware. Fonte: Doctor Web

O malware usa técnicas sofisticadas para evitar a detecção, incluindo arquivos protegidos por senha para ignorar verificações antivírus, disfarçando arquivos maliciosos como componentes legítimos do sistema e usando software legítimo para executar scripts maliciosos.

Em setembro, a exchange de criptomoedas Binance alertou sobre o malware Clipper, observando um pico de atividade no final de agosto, “levando a perdas financeiras significativas para os usuários afetados”.

O Doctor Web disse que muitos dos dispositivos das vítimas de malware foram comprometidos “pela instalação de versões piratas de programas populares” e recomendou instalar apenas software de uma fonte oficial.

O malware que altera a área de transferência existe há anos e se tornou particularmente proeminente após o mercado de criptomoedas em alta em 2017.

Esses tipos de programas de malware se tornaram mais sofisticados, muitas vezes combinando sequestro de área de transferência com outras funções maliciosas.

Em setembro, a empresa de inteligência de ameaças Facct relatou que agentes maliciosos e golpistas estavam explorando respostas automáticas de e-mail para espalhar malware de mineração de criptomoedas.

Revista: phish de $ 55 milhões em DeFi Saver, copy2pwn sequestra sua área de transferência: Crypto Sec