Pesquisadores detectam nova variante de botnet que roubou US$ 500 mil em criptomoedas

A maioria das vítimas reside na Etiópia, Nigéria e Índia

Compartilhar:

A Check Point detectou uma nova variante do Phorpiex, um botnet conhecido por suas campanhas de spam sextortion , cryptojacking (mineração maliciosa de criptomoeda), recorte de criptomoeda e disseminação de ransomware.

 

A nova variante, chamada Twizt, opera sem servidores de comando e controle ativos (C&C), permitindo escapar dos mecanismos de segurança, o que significa que cada computador infectado pode ampliar o botnet Phorpiex e roubar criptomoedas durante as transações, substituindo automaticamente o endereço da carteira pretendido pelo endereço da carteira do atacante.

 

A equipe da CPR estima que Twizt tirou quase meio milhão de dólares em criptomoeda. Os novos recursos do Twizt levaram a CPR a acreditar que o botnet pode se tornar ainda mais estável e, portanto, mais perigoso.

 

Os pesquisadores da Check Point Software avisam aos traders (operadores financeiros) de criptomoedas para que tenham cuidado com e para quem eles enviam fundos, pois 969 transações foram interceptadas e continuam aumentando.

 

Como funciona o Twizt

 

O Twizt utiliza uma técnica chamada “crypto clipping”, que é o roubo de criptomoeda durante as transações por meio do uso de malware que substitui automaticamente o endereço de carteira pretendido pelo endereço de carteira do atacante. O resultado é que os fundos vão parar em mãos erradas.

 

Vítimas

 

No período de um ano, entre novembro de 2020 a novembro de 2021, os bots Phorpiex sequestraram 969 transações, roubando 3,64 Bitcoin, 55,87 Ether e US$ 55.000 em tokens ERC20. O valor dos ativos roubados a preços atuais é de quase meio milhão de dólares americanos. Por várias vezes, o Phorpiex foi capaz de sequestrar transações de grandes quantias. O maior valor para uma transação interceptada Ethereum foi de 26 ETH.

 

Em 2021, os bots Phorpiex foram encontrados em 96 países. A maioria das vítimas do Phorpiex estão localizadas na Etiópia, Nigéria e Índia:

 

De acordo com Alexander Chailytko, gerente de Pesquisa e Inovação de Segurança Cibernética da Check Point Software, existem três riscos principais envolvidos com a nova variante do Phorpiex.

 

No primeiro deles, o Twizt usa o modelo ponto a ponto (peer-to-peer) capaz de receber comandos e atualizações de milhares de outras máquinas infectadas. Um botnet ponto a ponto é mais difícil de derrubar e interromper sua operação. Isso torna o Twizt mais estável que as versões anteriores dos bots Phorpiex.

 

Assim como as versões antigas do Phorpiex, no segundo risco o Twizt é capaz de roubar criptografia sem qualquer comunicação com C&C, portanto, é mais fácil de se esquivar de mecanismos de segurança, como firewalls, para causar danos.

 

No terceiro risco, o Twizt suporta mais de 30 carteiras de criptomoedas diferentes de blockchains distintos, incluindo as principais como Bitcoin, Ethereum, Dash, Monero. “Isso cria uma grande superfície de ataque e, basicamente, qualquer pessoa que esteja utilizando criptografia pode ser afetada. Eu recomendo enfaticamente a todos os usuários de criptomoeda que verifiquem os endereços da carteira que copiam e colam, pois o usuário pode estar enviando sua criptografia inadvertidamente para as mãos dos cibercriminosos”, alerta Chailytko.

 

Dicas de Segurança

 

Verificar o endereço da carteira. Quando os usuários copiam e colam um endereço de carteira criptografada devem sempre verificar se os endereços do original e o colado são correspondentes.

 

Transações de teste. Antes de enviar grandes quantias em criptografia, primeiro enviar uma transação de “teste” de sonda com uma quantia mínima.

 

Permanecer atualizado. Deve-se manter o sistema operacional atualizado; não baixar software de fontes não verificadas.

 

Pular os anúncios. Se o usuário está procurando carteiras ou plataformas de negociação e troca de criptografia no espaço da criptografia, sempre deverá olhar para o primeiro site em sua pesquisa e não no anúncio. Isso pode enganar o usuário, pois a equipe da Check Point Research encontrou golpistas usando o Google Ads para roubar carteiras criptografadas.

 

Observar as URLs. Sempre verificar as URLs, ou seja, os links presentes no navegador.

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...