Investidores de alto padrão são alvo de golpe de criptomoedas no Telegram
Por Felipe Demartini | Editado por Claudio Yuge | 07 de Dezembro de 2022 às 22h20
Investidores de alto padrão em criptomoedas estão sendo alvo de uma campanha direcionada, que seleciona vítimas a dedo a partir de grupos no Telegram. Os espaços, usados por corretoras e empresas do setor para facilitar o contato com seus principais clientes, estão sendo infiltrados por cibercriminosos, que acabam enganando os indivíduos de interesse e os contaminando com malware.
- 6 dicas para evitar golpes envolvendo criptomoedas
- Brasil lidera entre vítimas de extensão do Chrome que rouba senhas e cripto
Pelo menos uma pessoa já foi atingida pela onda de golpes, cujo total de vítimas pode ser maior. De acordo com a Microsoft, o objetivo final do grupo cibercriminoso DEV-0139 é obter lucro financeiro a partir do roubo de dados e desvio de ativos, enquanto a empresa de inteligência de ameaças Volexity associou os ataques ao Lazarus, quadrilha que trabalha a serviço do governo da Coreia do Norte, com o roubo de criptomoedas sendo usado para financiar o regime.
Seja quem for o responsável, as indicações são de golpes direcionados, nos quais os criminosos se passam por representantes de câmbios e companhias legítimas do mercado de criptomoedas. A partir da intrusão nos grupos de clientes VIP, eles convidam as vítimas para outros chats ligados à falsa empresa, onde receberiam consultoria e ofertas exclusivas de investimento.
A contaminação acontece quando o alvo recebe uma planilha do Excel com valores e detalhes reais, comparando tarifas cobradas por diferentes empresas, mas que também contam com macros anexados, que extraem uma DLL maliciosa a partir de uma imagem hospedada na internet. A partir daí, está instalada uma backdoor que dá acesso remoto ao computador da vítima e também é capaz de entregar um segundo pacote, o CryptoDashboardV2, capaz de desviar transferências de criptomoedas.
A engenharia social faz com que o indivíduo visado confie em quem enviou o arquivo, que é trancado por senha de forma a evitar a detecção imediata dos macros. Essa suposta garantia também aumenta a chance de o usuário dar todas as permissões necessárias para a execução dos malwares, ampliando a chance de sucesso de um golpe que, no final, acaba sendo bem lucrativo.
De acordo com a Microsoft, os golpes foram descobertos por seus sistemas de monitoramento de ameaças, que têm o DEV-0139 como um dos bandos cuja atividade é acompanhada. Já no caso da Volexity, a associação com o Lazarus veio pelo uso de sites que já apareceram em ataques anteriores da quadrilha, bem como no próprio método, com a planilha de comparação de tarifas já tendo aparecido em golpes registrados nos últimos meses, mas entregando outros tipos de malware.
As vítimas localizadas foram notificadas e receberam auxílio para proteger novamente as carteiras e contas possivelmente acessadas pelos bandidos. A todos, a Microsoft também reforçou o alerta quanto a mensagens privadas e arquivos anexados, que só devem ser abertos caso se tenha certeza da origem; o mesmo também vale para os papos, com propostas devendo ser ignoradas, a não ser que o usuário se certifique de que são verdadeiras.