Uma vez instalado, o malware instala o ClipBanker no dispositivo. O software substitui endereços de criptomoedas na área de transferência pelo endereço do atacante.

A empresa de cibersegurança Kaspersky descobriu um malware que engana vítimas para que enviem criptomoedas aos atacantes ao substituir endereços de carteira confiáveis copiados na área de transferência.

O malware está sendo distribuído disfarçado como complementos (add-ins) do Microsoft Office no site SourceForge.

Na verdade, links alternativos estão sendo usados para instalar o malware e infiltrar carteiras cripto. O código parece estar em russo, com uma expectativa de que 90% das potenciais vítimas estejam na Rússia, segundo os pesquisadores da Kaspersky em uma publicação no blog SecureList.

No entanto, o link leva a um site escrito em inglês para o download — o que sugere que o golpe pode se espalhar muito além da Rússia.

Uma vez instalado, o malware coloca o ClipBanker no dispositivo — um tipo de malware que substitui endereços de criptomoedas copiados na área de transferência pelo endereço do atacante.

Como a maioria dos usuários de carteiras cripto costuma copiar e colar os endereços, em vez de digitá-los, essa substituição normalmente passa despercebida até que o dinheiro seja enviado para o destino errado.

A Kaspersky alerta que o problema pode ser ainda mais grave.

“Os métodos de persistência também merecem destaque. Os atacantes garantem o acesso ao sistema infectado por diversos meios, incluindo métodos não convencionais”, escreveram os pesquisadores. “Embora o ataque tenha como alvo principal as criptomoedas, por meio do uso de um minerador e do ClipBanker, os atacantes podem vender o acesso ao sistema para agentes ainda mais perigosos.”

Vale destacar que o SourceForge é um site legítimo para hospedagem de downloads de software, e que essa exploração depende de os usuários serem redirecionados para um outro link de download, que não é seguro.

Um link aparentemente legítimo redireciona para uma página onde os usuários são incentivados a baixar o software infectado.

O download aparenta ser um instalador legítimo de 700 MB, mas a maior parte do arquivo é composta por arquivos inúteis. O malware real tem apenas 7 MB.

De acordo com o relatório, cerca de 4.604 usuários russos se depararam com esse esquema entre o início de janeiro e o final de março deste ano.

A Kaspersky alerta: “Recomendamos que os usuários evitem baixar software de fontes não confiáveis. Se você não conseguir obter determinado software por fontes oficiais por qualquer motivo, lembre-se de que buscar opções alternativas de download sempre envolve riscos maiores à segurança.”

• Veja também: Servidores da Wikipédia estão enfrentando dificuldades devido à pressão de bots de scraping de IA

O autor: Marcelo Roncate

Redator desde 2019. Entusiasta de tecnologia e criptomoedas.