Pesquisadores de segurança descobriram recentemente um novo malware que rouba criptomoedas. Trata-se de um malware simples, mas eficaz, distribuído por meio de um canal do Telegram chamado Hack Boss, que existe desde novembro de 2018 e tem mais de 2.500 assinantes, de acordo com a equipe de pesquisas de ameaças da Avast. Nesse canal, os hackers publicam postagens promovendo aplicativos de hacking ou cracking, mas o que as pessoas obtêm quando baixam esses aplicativos é o HackBoss.
Depois de instalado, o malware é executado e procura por endereços de carteiras de criptomoedas que são copiados para a área de transferência. Quando o malware detecta um endereço de carteira, ele substitui a carteira pretendida pelo endereço da carteira dos operadores do HackBoss. A carga maliciosa continua sendo executada no computador da vítima, mesmo depois que a interface do usuário do aplicativo é fechada. Se o processo malicioso for encerrado — por exemplo, por meio do gerenciador de tarefas — ele pode ser acionado novamente na inicialização ou pela tarefa agendada no minuto seguinte.
Os formatos dos endereços de carteiras que o HackBoss verifica são de criptomoedas Bitcoin, Ethereum, Dogecoin, Litecoin e Monero, porém a maioria delas são carteiras de Bitcoin. As análises dos pesquisadores dos Laboratórios de Ameaças da Avast revelam ainda que as vítimas do HackBoss estão principalmente na Nigéria e nos Estados Unidos, e que os operadores do malware podem ter recebido mais de meio milhão de dólares (US$ 560.451,08) em fundos de criptomoedas redirecionados (embora parte desse valor também possa refletir em ganhos a partir das vendas de software falso).
Além de posts promovendo aplicativos de hacking ou cracking, muitas vezes, os hackers incluem também um link para um canal do YouTube (retirado no momento), chamado Bank God com um vídeo promocional.
Veja isso
500 milhões de IDs do Facebook à venda através de bot do Telegram
Ataque a protocolo de operadoras clonou Telegram e e-mail
O canal do Telegram é uma ferramenta de transmissão de mensagens públicas para um grande público. Qualquer pessoa pode se inscrever em um canal específico e receber uma notificação em seu telefone a cada nova postagem. Além disso, apenas os administradores do canal têm o direito de postar e cada postagem mostra o nome do canal como um editor, não o nome de uma pessoa.
Embora o malware em si não seja sofisticado, ele pode ser muito eficaz. Muitas pessoas possuem criptomoedas atualmente e as enviam por meio de aplicativos no computador. Executar um aplicativo falso, que gera um processo malicioso e que verifica e troca continuamente o conteúdo da área de transferência, pode levar a uma perda monetária significativa para os usuários.
Eventualmente, a vítima pode iniciar um aplicativo de criptomoeda válido em seu computador e vai querer enviar criptomoedas reais para outra pessoa. Copiar o endereço da carteira da criptomoeda receptora alertará o processo malicioso já em execução, que mudará o endereço da sua própria carteira. Um usuário pouco atento pode clicar no botão de pagamento, sem perceber que o endereço da carteira que foi copiado mudou nesse meio tempo e, com isso, perder o seu dinheiro.
“Um agente malicioso só precisa estar um pouco ocupado promovendo aplicativos falsos simples e o ganho monetário pode ser considerável. E é isso que os criadores do malware HackBoss estão fazendo, de forma consistente. O canal Hack Boss no Telegram não é o único lugar onde eles promovem o seu aplicativo falso. Eles também mantêm um blog em cranhan.blogspot[.]com, contendo apenas postagens que promovem os seus aplicativos falsos e há canais no YouTube com vídeos promocionais, além de publicarem anúncios em fóruns e discussões públicas”, alerta Romana Tesarová, pesquisadora de malware da Avast.
