Kaspersky descobre nova e sofisticada campanha visando carteiras digitais de criptomoedas. O golpe está em circulação na Europa, EUA e América Latina. O ataque atua em cinco estágios e consegue roubar até mesmo criptomoedas armazenadas em hardware wallet – que de certa forma é uma carteira física ou uma carteira desconectada da internet, e que são mais seguras que as carteiras digitais comuns.
O golpe utiliza o DoubleFinger para baixar arquivos maliciosos no sistema infectado, o programa ladrão GreetingGhoul para roubar credenciais e o trojan de acesso remoto Remcos (RAT) para ter controle do dispositivo infectado. A análise dos especialistas da Kaspersky destaca as técnicas avançadas e o alto nível de conhecimento desses cibercriminosos que desenvolveram essa ameaça financeiras.
A investigação da Kaspersky mostra que a infecção começa quando a vítima abre um arquivo PIF malicioso, anexo em um e-mail, que irá infectar o computador com a praga do DoubleFinger. Esse programa será responsável por completar o processo de infecção – que está dividido em cinco estágios. Os detalhes de cada estágio estão disponíveis no blog técnico Securelist, mas de uma maneira mais simples, a infecção foi dividida em cinco partes para evitar a detecção do malware pelos produtos de segurança.
- Nos dois primeiros estágios, códigos não maliciosos são baixados: primeiro dentro de uma imagem PNG legítima e o segundo em um arquivo legítimo pertencente ao Java. Separados esses códigos não possuem ação maliciosa.
- Na terceira etapa, é usado a técnica de esteganografia – que é a leitura de códigos em imagens legítimas, para decifrar um código. Ao final, nessa etapa se junta os códigos baixados nas etapas anteriores para completar a infecção.
- Já na quarta etapa, o malware executará um processo legítimo na memória do computador (técnica fileless). Neste momento, o malware faz uma cópia do processo e adiciona o código malicioso compilado na etapa 3. Dessa forma, os dois processos ficam salvos na memória: o limpo e o malicioso.
- Na última etapa, outra imagem é baixada, mas este arquivo é o programa ladrão GreetingGhoul. Uma vez no sistema, este arquivo .PNG é renomeado para a extensão .exe (um arquivo executável). E a infecção é finalizada.
“A infecção em estágios visando burlar a detecção é algo cada vez mais comum em malware ladrões (stealers). Na minha opinião, o que mais chama atenção desse novo golpe é a capacidade de roubar criptomoedas em carteiras “físicas”, as cold wallets ou hardware wallets que são opções bem mais seguras que as carteiras digitais comuns”, afirma Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.