Threat actors que miram carteiras de criptomoedas estão distribuindo malware de roubo de área de transferência com capacidade de autopropagação e usando a rede Tor para ocultar as comunicações.
A campanha está ativa, no mínimo, desde fevereiro, e se baseia em arquivos LNK, os atalhos do Windows, em unidades USB para disseminar um malware do tipo clipper.
Esse código malicioso monitora o conteúdo da área de transferência e substitui endereços de carteiras de criptomoedas por outros controlados pelo atacante.
Além disso, ele monitora seed phrases e chaves privadas e pode capturar screenshots, que são exfiltradas por meio da rede Tor.
Segundo a Microsoft, o processo de infecção começa quando a vítima abre o arquivo LNK, acionando o malware presente no USB.
Cargas úteis adicionais são baixadas de um endereço .ONION.
Uma varredura local procura arquivos de documento no sistema.
Quando esses arquivos são encontrados, o malware oculta os originais e os substitui por atalhos maliciosos com os mesmos nomes.
Com isso, o código malicioso é executado quando o usuário tenta abrir os documentos.
O worm cria uma tarefa agendada para monitorar a conexão de novos dispositivos USB.
Quando uma unidade removível é conectada, o malware se copia para o dispositivo e cria outros arquivos de atalho maliciosos.
O componente ladrão do malware é executado após verificar se o Gerenciador de Tarefas está inativo e estabelece comunicação com o host de comando e controle (C2) usando um executável da Tor, o ugate.exe.
A cada meio segundo, o malware verifica a área de transferência em busca dos seguintes dados:
- seed phrases BIP39 de 12 palavras
- seed phrases BIP39 de 24 palavras
- chaves privadas de Ethereum
- chaves WIF de Bitcoin
- endereços de carteiras Bitcoin nos formatos legacy, P2SH, Bech32 e Taproot
- endereços de carteiras Tron
- endereços de carteiras Monero
Os endereços visados são escolhidos com base nos dígitos ou caracteres iniciais para se parecerem, em parte, com os endereços das carteiras dos atacantes, reduzindo a chance de o usuário perceber a fraude rapidamente.
Além de monitorar a área de transferência, o malware também captura cinco screenshots da tela da vítima a cada dez segundos e as envia ao C2 usando a ferramenta curl.
De acordo com a Microsoft, há ainda suporte para execução remota de código, que pode ser disparada por uma instrução EVAL do C2.
Nesse caso, o malware baixa conteúdo JavaScript para um arquivo chamado cfile e o executa na máquina infectada.
Os pesquisadores afirmam que os indicadores mais fortes de infecção são comportamentais, e não baseados em assinatura.
Por isso, recomendam monitorar a atividade de processos no wscript.exe e no cscript.exe, execuções inesperadas de curl, PowerShell e cmd.exe, além de processos filhos incomuns.
Conexões com localhost:9050 e atividade de proxy da rede Tor também são sinais de alerta associados a essa campanha.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...