Detectada nova variante de ameaça virtual que roubou US$ 500 mi em criptomoedas

A Check Point Research (CPR) detectou uma nova variante do Phorpiex, um botnet conhecido por suas campanhas de spamsextortion (onde ameaça vazar vídeos íntimos das vítimas), cryptojacking (mineração maliciosa de criptomoeda) e disseminação de ransomware. A firma de segurança acredita que essa nova versão é uma das mais agressivas já detectadas da ameaça.

• Governo brasileiro alerta sobre ataques Log4j em roubos de criptomoedas
• O que é Phishing?

A nova variante, chamada Twizt, opera sem servidores de comando e controle ativos (C2), permitindo escapar dos mecanismos de segurança, o que significa que cada computador infectado pode ampliar o botnet Phorpiex e roubar criptomoedas durante as transações, substituindo automaticamente o endereço da carteira pretendido pelo endereço da carteira do atacante.

O Twizt utiliza uma técnica chamada crypto clipping, que é o roubo de criptomoeda durante as transações por meio do uso de malware que substitui automaticamente o endereço de carteira pretendido pelo endereço de carteira do atacante. O resultado é que os fundos vão parar em mãos erradas.

De acordo com Alexander Chailytko, gerente de Pesquisa e Inovação de Segurança Cibernética da Check Point Software, existem três riscos principais envolvidos com a nova variante do Phorpiex.

No primeiro deles, o Twizt usa o modelo ponto a ponto (peer-to-peer) capaz de receber comandos e atualizações de milhares de outras máquinas infectadas, dificultando sua não-operação e tornando a variante a versão mais estável detectada dos bots Phorpiex. Já no segundo risco, a ameaça consegue, a partir de roubo de chaves criptográficas dos sistemas, passar despercebido pelas soluções antivírus.

Por fim, no terceiro risco, o Twizt suporta mais de 30 carteiras de criptomoedas diferentes de blockchains distintos, incluindo as principais como Bitcoin, Ethereum, Dash, Monero, podendo assim roubar unidades de todos esses ativos. "Isso cria uma grande superfície de ataque e, basicamente, qualquer pessoa que esteja utilizando criptografia pode ser afetada. Eu recomendo enfaticamente a todos os usuários de criptomoeda que verifiquem os endereços da carteira que copiam e colam, pois o usuário pode estar enviando sua criptografia inadvertidamente para as mãos dos cibercriminosos", alerta Chailytko.

Estrago e proteção

No período de um ano, entre novembro de 2020 a novembro de 2021, os bots Phorpiex sequestraram 969 transações, roubando um total de 3,64 Bitcoin, 55,87 Ether e US$ 55.000 em tokens ERC20, totalizando um total de US$ 500 milhões (R$ 2,8 bilhões, na conversão atual). Ainda neste ano, a ameaça foi encontrada principalmente na na Etiópia, Nigéria e Índia.

Para proteção contra a ameaça, a Check Point recomenda os seguintes passos:

• Verificar o endereço da carteira: Quando os usuários copiam e colam um endereço de carteira criptografada devem sempre verificar se os endereços do original e o colado são correspondentes;
• Realize transações de teste: Antes de enviar grandes quantias em criptografia, primeiro enviar uma transação de "teste" de sonda com uma quantia mínima;
• Manter sistemas atualizadoa: Deve-se manter o sistema operacional atualizado; não baixar software de fontes não verificadas;
• Observar as URLs: Sempre verificar as URLs, ou seja, os links presentes no navegador!