A Check Point detectou uma nova variante do Phorpiex, um botnet conhecido por suas campanhas de spam sextortion , cryptojacking (mineração maliciosa de criptomoeda), recorte de criptomoeda e disseminação de ransomware.
A nova variante, chamada Twizt, opera sem servidores de comando e controle ativos (C&C), permitindo escapar dos mecanismos de segurança, o que significa que cada computador infectado pode ampliar o botnet Phorpiex e roubar criptomoedas durante as transações, substituindo automaticamente o endereço da carteira pretendido pelo endereço da carteira do atacante.
A equipe da CPR estima que Twizt tirou quase meio milhão de dólares em criptomoeda. Os novos recursos do Twizt levaram a CPR a acreditar que o botnet pode se tornar ainda mais estável e, portanto, mais perigoso.
Os pesquisadores da Check Point Software avisam aos traders (operadores financeiros) de criptomoedas para que tenham cuidado com e para quem eles enviam fundos, pois 969 transações foram interceptadas e continuam aumentando.
Como funciona o Twizt
O Twizt utiliza uma técnica chamada “crypto clipping”, que é o roubo de criptomoeda durante as transações por meio do uso de malware que substitui automaticamente o endereço de carteira pretendido pelo endereço de carteira do atacante. O resultado é que os fundos vão parar em mãos erradas.
Vítimas
No período de um ano, entre novembro de 2020 a novembro de 2021, os bots Phorpiex sequestraram 969 transações, roubando 3,64 Bitcoin, 55,87 Ether e US$ 55.000 em tokens ERC20. O valor dos ativos roubados a preços atuais é de quase meio milhão de dólares americanos. Por várias vezes, o Phorpiex foi capaz de sequestrar transações de grandes quantias. O maior valor para uma transação interceptada Ethereum foi de 26 ETH.
Em 2021, os bots Phorpiex foram encontrados em 96 países. A maioria das vítimas do Phorpiex estão localizadas na Etiópia, Nigéria e Índia:
De acordo com Alexander Chailytko, gerente de Pesquisa e Inovação de Segurança Cibernética da Check Point Software, existem três riscos principais envolvidos com a nova variante do Phorpiex.
No primeiro deles, o Twizt usa o modelo ponto a ponto (peer-to-peer) capaz de receber comandos e atualizações de milhares de outras máquinas infectadas. Um botnet ponto a ponto é mais difícil de derrubar e interromper sua operação. Isso torna o Twizt mais estável que as versões anteriores dos bots Phorpiex.
Assim como as versões antigas do Phorpiex, no segundo risco o Twizt é capaz de roubar criptografia sem qualquer comunicação com C&C, portanto, é mais fácil de se esquivar de mecanismos de segurança, como firewalls, para causar danos.
No terceiro risco, o Twizt suporta mais de 30 carteiras de criptomoedas diferentes de blockchains distintos, incluindo as principais como Bitcoin, Ethereum, Dash, Monero. “Isso cria uma grande superfície de ataque e, basicamente, qualquer pessoa que esteja utilizando criptografia pode ser afetada. Eu recomendo enfaticamente a todos os usuários de criptomoeda que verifiquem os endereços da carteira que copiam e colam, pois o usuário pode estar enviando sua criptografia inadvertidamente para as mãos dos cibercriminosos”, alerta Chailytko.
Dicas de Segurança
Verificar o endereço da carteira. Quando os usuários copiam e colam um endereço de carteira criptografada devem sempre verificar se os endereços do original e o colado são correspondentes.
Transações de teste. Antes de enviar grandes quantias em criptografia, primeiro enviar uma transação de “teste” de sonda com uma quantia mínima.
Permanecer atualizado. Deve-se manter o sistema operacional atualizado; não baixar software de fontes não verificadas.
Pular os anúncios. Se o usuário está procurando carteiras ou plataformas de negociação e troca de criptografia no espaço da criptografia, sempre deverá olhar para o primeiro site em sua pesquisa e não no anúncio. Isso pode enganar o usuário, pois a equipe da Check Point Research encontrou golpistas usando o Google Ads para roubar carteiras criptografadas.
Observar as URLs. Sempre verificar as URLs, ou seja, os links presentes no navegador.