Atacantes maliciosos estão usando uma combinação sofisticada de contas X falsas e bots maliciosos do Telegram para implantar malware que rouba criptomoedas.
A empresa de segurança Web3 ScamSniffer alertou sobre um novo golpe direcionado a usuários de criptomoedas, imitando influenciadores populares na área e usando malware furtivo para drenar suas carteiras.
O ataque começa com golpistas se passando por influenciadores de criptografia populares e criando contas X falsas promovendo grupos de Telegram que prometem oferecer consultoria de investimento. Esses grupos são frequentemente considerados “exclusivos” e geralmente promovidos em postagens de influenciadores que os golpistas imitam para parecerem legítimos.
Quando usuários desavisados ingressam em um grupo por meio de um link de convite, eles são solicitados a se autenticar usando um bot de autenticação do Telegram chamado “OfficialSafeguardBot”. Segundo o ScammSniffer, o bot “cria um senso artificial de urgência” ao dar aos usuários pouco tempo para concluir a captura.
Durante esse falso processo de verificação, o bot injeta “código malicioso do PowerShell”, uma linguagem de script usada para automação de tarefas no Windows, na área de transferência da vítima. As vítimas são enganadas para executar o código no Windows, pois o bot o solicita como uma etapa necessária para ser concluído. processo de verificação. Veja abaixo.
Bot de verificação de telegrama que solicita aos usuários a execução de código malicioso. Fonte: ScamSniffer em X
ScamSniffer diz que houve “numerosos incidentes recentes” onde táticas semelhantes foram usadas para roubar chaves privadas de usuários. O malware também conseguiu escapar de vários antivírus, com apenas o VirusTotal sinalizando-o como malicioso.
Para se protegerem, os usuários foram aconselhados a usar carteiras de hardware, evitar executar comandos desconhecidos e instalar software não verificado.
O relatório segue um aviso anterior ao ScamSniffer sobre um aumento nas contas X falsas em dezembro. Notavelmente, as contas de falsificação de identidade aumentaram mais de 87% desde novembro, e duas vítimas perderam mais de US$ 3 milhões clicando em links maliciosos promovidos por meio de algumas dessas contas.
Nos últimos meses, os agentes de ameaças têm recorrido cada vez mais ao uso de malware projetado para exfiltrar ativos criptográficos. Esse aumento coincide com a ascensão do Bitcoin para US$ 100.000 e uma recuperação mais ampla das altcoins, tornando o setor de criptografia cada vez mais lucrativo para os golpistas.
Em 9 de dezembro, o Cado Security Labs usou um aplicativo de conferência falso depois que usuários de engenharia social acreditaram que precisavam baixar o aplicativo para uma oportunidade de negócios legítima ou para interagir com o malware Realst que se infiltra nos sistemas dos usuários.
Uma vez implantado, o malware rouba ativos criptográficos, credenciais armazenadas em navegadores, detalhes de cartões bancários e outras informações confidenciais.
Em outubro, o protocolo financeiro descentralizado Radiant Capital sofreu perdas de mais de US$ 50 milhões depois que os sistemas de alguns de seus desenvolvedores de plataforma foram comprometidos por arquivos PDF compactados contendo malware. O ataque envolveu engenharia social, com arquivos infectados sendo promovidos via Telegram por um invasor que se fazia passar por um contratante principal confiável.
