A empresa de segurança cibernética Kaspersky descobriu um golpe único visando ladrões de criptomoedas. O esquema atrai oportunistas em potencial com carteiras de criptomoedas aparentemente carregadas, apenas para desviar seus fundos quando eles tentam acessar a isca. Esse estratagema inventivo demonstra a crescente sofisticação dos criminosos cibernéticos no espaço de ativos digitais.
De acordo com a Kaspersky, os principais golpistas estão se passando por usuários ingênuos de criptomoedas ao compartilhar publicamente frases-semente, as chaves necessárias para acessar carteiras de criptomoedas, em comentários do YouTube. Esses comentários, postados por contas recém-criadas, geralmente incluem um apelo por assistência na transferência de fundos de uma carteira que supostamente detém ativos significativos.
“Os golpistas inventaram um novo truque... Eles postam frases-semente de carteiras de cripto em comentários do YouTube usando contas recém-criadas,” detalhou o analista da Kaspersky, Mikhail Sytnik, em um post recente no blog.
Não há honra entre ladrões – Como funciona o golpe da chave privada
Uma carteira observada pela Kaspersky continha aproximadamente $8.000 em USDT na rede Tron. Para acessar esses fundos, um ladrão precisaria primeiro enviar TRX, o token nativo da blockchain, para cobrir as taxas de rede.
Trocas fraudulentas: Fonte – Tron Network
O esquema principalmente se aproveita de indivíduos que buscam explorar o suposto erro “tolo” dos outros. Uma vez dentro da carteira isca, esses ladrões digitais a encontram preenchida com USDT, um token TRC20 vinculado ao dólar americano.
Como a carteira não possui TRX suficiente para saques, eles são levados a enviar fundos de suas próprias carteiras. Essa ação aciona o “sifão”, desviando o TRX para o endereço do golpista.
Trocas fraudulentas: Fonte – Tron Network
Os golpistas manipularam o sistema, e assim que o TRX é enviado, ele é imediatamente redirecionado para uma carteira separada controlada pelos atacantes, deixando o ladrão de mãos vazias.
A análise da Kaspersky comparou os golpistas a Robin Hoods digitais, visando atores antiéticos no espaço cripto. No entanto, as vítimas finais continuam sendo aquelas que deixam sua ganância superar sua cautela.
A empresa de segurança está alertando os usuários de cripto para serem cautelosos com o uso repetido de frases-semente idênticas em vários comentários. Isso pode ser uma operação bem planejada e coordenada para roubar seus ativos.
Campanhas de golpe visando usuários de cripto
As descobertas da Kaspersky se estendem além dos golpes de frase-semente. Em agosto, a Equipe Global de Resposta a Emergências (GERT) da empresa identificou uma campanha de fraude maior destinada a usuários de Windows e macOS em todo o mundo.
Esta operação utiliza sites falsos polidos para imitar serviços legítimos, como plataformas de cripto, jogos de RPG online e ferramentas de IA. Essas imitações sofisticadas são projetadas para atrair vítimas a compartilhar informações sensíveis ou baixar malware.
“A correlação entre diferentes partes desta campanha e sua infraestrutura compartilhada sugere uma operação bem organizada, possivelmente ligada a um único ator ou grupo com motivos financeiros específicos”, afirmou Ayman Shaaban, Chefe de Resposta a Incidentes da GERT da Kaspersky.
Intitulada “Tusk”, a investigação da Kaspersky revelou que a campanha inclui várias suboperações visando cripto, jogos e tópicos relacionados à IA. A infraestrutura maliciosa também se estende a 16 outros temas, sejam subcampanhas aposentadas ou novas que ainda não foram lançadas.
Códigos maliciosos descobertos durante a investigação mostraram comunicação entre os servidores dos atacantes em russo, com referências ao termo “Mamute” (“Мамонт”), gíria para “vítima” entre atores de ameaça de língua russa. Essa pista linguística contribuiu para o nome da campanha.
A campanha Tusk utiliza malware de roubo de informações como Danabot e Stealc, bem como clippers que monitoram a área de transferência, alguns dos quais são variantes de código aberto escritas em Go. Os ladrões de informações extraem credenciais, detalhes de carteiras e outras informações sensíveis, enquanto os clippers interceptam endereços de carteiras de criptomoeda copiados para a área de transferência, substituindo-os por endereços maliciosos controlados pelos atacantes.
Do Zero ao Web3 Pro: Seu Plano de Lançamento de Carreira em 90 Dias