A Avast anuncia que os pesquisadores de seus Laboratórios de Ameaças descobriram recentemente um novo malware que rouba criptomoedas e que eles o chamaram de HackBoss.
Trata-se de um malware simples, mas eficaz, distribuído por meio de um canal do Telegram chamado Hack Boss, que existe desde novembro de 2018 e tem mais de 2.500 assinantes, de acordo com a pesquisa da Avast. Neste canal, os autores publicam postagens promovendo aplicativos de hacking ou cracking, mas o que as pessoas obtêm quando baixam esses aplicativos é o malware HackBoss.
Depois de instalado, o malware HackBoss é executado e procura por endereços de carteiras de criptomoedas que são copiados para a área de transferência. Quando o malware detecta um endereço de carteira, ele substitui a carteira pretendida pelo endereço de carteira do próprio autor do HackBoss, desviando assim o dinheiro efetivamente para os autores do malware.
A carga maliciosa continua sendo executada no computador da vítima, mesmo depois que a interface do usuário do aplicativo é fechada. Se o processo malicioso for encerrado – por exemplo, por meio do gerenciador de tarefas – ele pode ser acionado novamente na inicialização ou pela tarefa agendada no minuto seguinte.
Os formatos dos endereços de carteiras que o HackBoss verifica são de criptomoedas Bitcoin, Ethereum, Dogecoin, Litecoin e Monero, porém a maioria delas são carteiras de Bitcoin. As análises dos pesquisadores dos Laboratórios de Ameaças da Avast revelam ainda que as vítimas do HackBoss estão principalmente na Nigéria e nos Estados Unidos, e que os autores do malware podem ter recebido mais de meio milhão de dólares (US$ 560.451,08) em fundos de criptomoedas redirecionados (embora parte desse valor também possa refletir em ganhos a partir das vendas de software falso).
Em seu canal, os autores publicam posts promovendo aplicativos de hacking ou cracking, porém o que as pessoas obtêm quando baixam esses aplicativos é o malware HackBoss e não os aplicativos de hacking ou cracking, que pensavam estar recebendo. Isto porque a postagem contém uma descrição falsa da suposta funcionalidade do aplicativo e capturas de tela da interface do usuário do app. Às vezes, também inclui um link para um canal do YouTube (retirado no momento), chamado Bank God com um vídeo promocional.
É importante destacar que o canal do Telegram é uma ferramenta de transmissão de mensagens públicas para um grande público. Qualquer pessoa pode se inscrever em um canal específico e receber uma notificação em seu telefone a cada nova postagem. Além disso, apenas os administradores do canal têm o direito de postar e cada postagem mostra o nome do canal como um editor, não o nome de uma pessoa.
Embora o malware em si não seja sofisticado, ele pode ser muito eficaz. Muitas pessoas possuem criptomoedas atualmente e as enviam por meio de aplicativos no computador. Executar um aplicativo falso, que gera um processo malicioso e que verifica e troca continuamente o conteúdo da área de transferência, pode levar a uma perda monetária significativa para os usuários.
Eventualmente, a vítima pode iniciar um aplicativo de criptomoeda válido em seu computador e vai querer enviar criptomoedas reais para outra pessoa. Copiar o endereço da carteira da criptomoeda receptora alertará o processo malicioso já em execução, que mudará o endereço da sua própria carteira. Um usuário pouco atento pode clicar no botão de pagamento, sem perceber que o endereço da carteira que foi copiado mudou nesse meio tempo e, com isso, perder o seu dinheiro.
“Um agente malicioso só precisa estar um pouco ocupado promovendo aplicativos falsos simples e o ganho monetário pode ser considerável. E é isso que os criadores do malware HackBoss estão fazendo, de forma consistente. O canal Hack Boss no Telegram não é o único lugar onde eles promovem o seu aplicativo falso. Eles também mantêm um blog em cranhan.blogspot[.]com, contendo apenas postagens que promovem os seus aplicativos falsos e há canais no YouTube com vídeos promocionais, além de publicarem anúncios em fóruns e discussões públicas”, alerta Romana Tesařová, pesquisadora de malware da Avast.
“O mundo das criptomoedas é divertido e interessante. A cada aumento do valor do Bitcoin, mais e mais pessoas são atraídas para os jogos de venda, mineração e troca de ativos digitais. No entanto, o cenário é tentador tanto para as pessoas honestas quanto para aquelas mal-intencionadas. O malware com foco no roubo de criptomoedas se tornou rotina”, acrescenta Romana Tesařová.
A Avast recomenda:
• Sempre preste muita atenção e seja cauteloso ao lidar com criptomoedas;
• Sempre verifique o endereço da carteira para a qual você está enviando os seus ativos digitais;
• Use a autenticação de dois fatores, para acessar as suas carteiras digitais;
• Instale um antivírus em todos os dispositivos para protegê-lo, não apenas de malware como o HackBoss, mas das ameaças cada vez mais sofisticadas do universo digital