A Sophos divulgou novas descobertas sobre golpes de CryptoRom — um subconjunto de esquemas de pig butchering (shā zhū pán) projetados para induzir usuários de aplicativos de relacionamento a fazer falsos investimentos em criptomoedas — em seu último relatório, intitulado “Sha Zhu Pan Scam uses AI chat tool to target iPhone and Android users”.
Desde maio, a equipe do Sophos X-Ops, unidade multioperacional da companhia, vem observando que os golpistas do CryptoRom têm refinado as técnicas e, entre elas, passaram a usar ferramentas de bate-papo de Inteligência Artificial (IA), como o ChatGPT. Os criminosos também expandiram as táticas de coerção, dizendo às vítimas que suas contas de criptomoedas foram invadidas e que é necessário transferir mais dinheiro.
O time ainda descobriu que os golpistas conseguiram infiltrar sete novos aplicativos falsos de investimento em criptomoedas nas lojas oficiais da Apple e Google Play, aumentando o potencial de vítimas.
Em 2022, as fraudes de investimentos foram responsáveis pelas maiores perdas considerando todos os golpes relatados pelo público ao Centro de Reclamações de Crimes na Internet (IC3) do FBI, totalizando US$ 3,31 bilhões. Incidentes envolvendo criptomoedas, incluindo o próprio pig butchering, representaram a maioria desses casos, que registraram aumento de 183% em relação a 2021 — período no qual as perdas chegaram a um montante de US$ 2,57 bilhões.
Por conta de uma vítima que entrou em contato com a equipe do Sophos X-Ops, os especialistas da companhia identificaram pela primeira vez que os golpistas do CryptoRom estavam utilizando ferramentas de bate-papo de IA — provavelmente o ChatGPT.
Depois de entrar em contato com a vítima no Tandem — aplicativo de intercâmbio de idiomas que conecta potenciais alunos com falantes nativos, mas que também é usado para relacionamento —, o golpista a convenceu a transferir a conversa para o WhatsApp. A partir daí, ela ficou desconfiada depois de receber uma longa mensagem escrita por uma ferramenta de chat de IA, que usava modelos de linguagem de larga escala (do inglês, Large Language Models, ou LLMs).
“Desde que a OpenAI lançou o ChatGPT, houve grande especulação de que os cibercriminosos poderiam usar o programa para suas próprias atividades maliciosas. Agora podemos dizer que, pelo menos no caso dos golpes de pig butchering, isso está, de fato, acontecendo. Um dos principais desafios para os fraudadores de CryptoRom é ter conversas convincentes e sustentadas de natureza romântica com os alvos. Essas mensagens são escritas geralmente por ‘tecladistas’, que vivem principalmente na Ásia e têm uma barreira de idioma. Usar algo como o ChatGPT pode ser uma maneira mais eficiente de manter essas trocas, tornando os golpes menos trabalhosos e mais autênticos. Ele também permite que os digitadores se envolvam com várias vítimas ao mesmo tempo”, explica Sean Gallagher, principal pesquisador de ameaças da Sophos.
Além disso, o Sophos X-Ops descobriu uma nova tática projetada para extorquir mais dinheiro dos alvos. Tradicionalmente, quando as vítimas de golpes do CryptoRom tentam lucrar com seus “investimentos”, os fraudadores dizem que precisam pagar uma taxa de 20% sobre seus fundos antes de concluir qualquer saque. No entanto, uma vítima recente revelou que, após pagar o tal “imposto” para obter seu dinheiro, os criminosos disseram que o valor foi “hackeado” e precisariam de outro depósito de 20% antes de receber a quantia.
Após uma investigação mais aprofundada, a equipe encontrou sete aplicativos falsos de investimento em criptomoedas nas lojas oficiais do Google Play e da Apple. Esses apps têm descrições aparentemente apropriadas no marketplace de aplicativos (o BerryX, por exemplo, afirma ser relacionado à leitura). No entanto, assim que os usuários abrem o aplicativo, eles se deparam com uma falsa interface de negociação de criptomoedas.
Para passar pelo processo de revisão da Apple App Store, os desenvolvedores de aplicativos usam a mesma técnica que a Sophos relatou pela primeira vez em fevereiro de 2023. Eles enviam o app para aprovação usando um conteúdo legítimo da web. Assim, uma vez que a ferramenta é aprovada e publicada, eles modificam o servidor de hospedagem com o código da interface fraudulenta.
“Antes de conseguir inserir os aplicativos na Apple Store, os fraudadores do CryptoRom tiveram que usar uma solução técnica complicada para atingir os usuários do iOS, o que poderia alertar as vítimas de que algo estava errado. Agora, é muito mais fácil atingir os usuários do iPhone, expandindo o grupo de vítimas. Esses aplicativos também são simples de se reciclar e reutilizar. Na verdade, o BerryX parece ser relacionado aos apps falsos que descobrimos e bloqueamos no início deste ano. Embora tenhamos alertado o Google e a Apple sobre esses mais recentes, é provável que apareçam mais. Hoje, eles dizem às vítimas que suas contas foram invadidas para poderem roubar mais dinheiro, mas, no futuro, é provável que pensem em novos métodos de extorsão inicial e dupla. A melhor defesa contra o pig butchering é a conscientização sobre essas campanhas. Incentivamos os usuários que suspeitam ou pensam que podem ter sido vítimas a entrar em contato conosco”, diz Gallagher.