Malware altera área de transferência para roubar criptomoedas no Windows

Um novo malware descoberto pela BleepingComputer, especializada em segurança de informação, conta com um sistema relativamente arrojado para execução de uma tarefa simples, voltada para o roubo de criptomoedas. A praga é capaz de alterar o conteúdo da área de transferência de computadores com o Windows, substituindo o endereço de carteiras por aquelas controladas pelos criminosos, apostando na desatenção dos usuários durante as transações.

Não é um mecanismo exatamente complexo, mas sim incrivelmente funcional, uma vez que os endereços de carteiras de criptomoedas são compostos por longas sequências de números e letras que, com certeza, não são conferidas pelo usuário no momento de colar e realizar um pagamento. O que chama a atenção, porém, é o fato de o malware não realizar essa substituição aleatoriamente, mas sim contar com um banco de dados de mais de 2,3 milhões de dados desse tipo.

Quando uma carteira virtual real é detectada, a substituição acontece de forma automática. Normalmente, os endereços utilizados para verificação na praga pertencem a grandes comerciantes, empresas ou entusiastas do mercado das moedas virtuais — ou seja, gente que realiza grandes movimentações e são presença relativamente constante nesse mercado, o que maximiza o alcance da praga e dos fundos enviados de forma equivocada aos hackers.

No computador, a praga se esconde como um serviço relacionado ao DirectX, uma API voltada para jogos e aplicações gráficas que rodam no sistema operacional Windows. É assim que o malware esconde seu tamanho avantajado, com 83 MB, e também seu monitoramento constante das máquinas infectadas, sempre de olho na cópia de endereços de carteiras para que possa agir.

De acordo com a BleepingComputer, porém, boa parte dos antivírus do mercado já são capazes de reconhecer e deter a atuação da praga, desde que, claro, estejam rodando em suas versões mais recentes. Entretanto, a empresa alerta aos usuários que a única maneira de garantir que um PC não esteja infectado é realizar a conferência visual dos endereços das carteiras, em busca de alterações que tenham sido realizadas pelo malware.

Não se sabe quanto dinheiro teria sido transferido para as contas dos hackers responsáveis pelo golpe, se é que eles efetivamente receberam alguma quantia. Mas levando em conta o alcance do malware e o uso de contas populares para seu funcionamento, todo cuidado é pouco, principalmente na hora de enviar grandes somas ou pagamentos. É um daqueles casos em que é melhor prevenir, mesmo que isso dê um pouco de trabalho, do que lidar com as consequências.

Fonte: BleepingComputer