EnglishPortugueseSpanish

Doze meses. Este foi o tempo levado para que um malware capaz de roubar criptomoedas de dispositivos Windows, macOS e Linux fosse descoberto. Denominado ElectroRAT, o trojan passa despercebido pelos principais antivírus do mercado e possibilita que os cibercriminosos executem diversos comandos nas máquinas infectadas.

A demora em desmascarar o golpe tem uma explicação. Além de ser criado “do zero” para driblar os softwares de proteção dos computadores, o malware foi incorporado em programas para afetar os sistemas operacionais mais usados.

publicidade

Isso sem contar no grande esforço publicitário dos golpistas para promover o malware, aproveitando o sucesso das criptomoedas — que vêm batendo recordes nos últimos anos.

Bitcoin
Na madrugada desta quarta-feira (6), o bitcoin bateu novo recorde e superou a marca de US$ 35 mil. Foto: André François McKenzie/Unsplash

Como funciona o esquema

Segundo relatório publicado pela empresa de segurança Intezer, o esquema inclui três aplicativos — “Jamm”, “eTrade” e “DaoPoker” — para enganar os usuários de dispositivos Windows, macOS e Linux.

Os dois primeiros softwares se apresentam como plataformas de negociação de criptomoedas, enquanto o terceiro baseia-se em um app de pôquer que permite apostas com moedas digitais.

Os cibercriminosos então fazem campanhas promocionais falsas em fóruns relacionados a criptomoedas, como bitcointalk e SteemCoinPan. E o pior é que os sites são bem construídos, passando mais credibilidade às vítimas.

publicidade

Os programas se apresentam como software benignos, mas na verdade, escondem o ElectroRat. Outro problema é que os falsos aplicativos de criptomoedas não foram detectados pelos principais antivírus do mercado.

Funcionamento do ElectroRAT
Intezer detalha o esquema utilizado para a disseminação do ElectroRAT. Foto: Intezer/Divulgação

Uma vez instalado, o ElectroRAT permite que os cibercriminosos registrem pressionamentos de teclas, façam capturas de telas, carreguem, baixem e instalem arquivos e executem comandos nas máquinas infectadas.

“É muito incomum ver um RAT escrito do zero e usado para roubar informações pessoais de usuários de criptomoedas”, escreveram pesquisadores no relatório.

Criminoso de longa data

O trojan ElectroRat usa páginas do site Pastebin, publicadas por um usuário chamado “Execmac”. A página de perfil do usuário possui cerca de 6.500 visualizações, dando maior dimensão da quantidade de pessoas que foram infectadas pelo malware.

Página do cibercriminoso
Página do usuário “Exemac” no Pastebin tem mais de 6 mil visualizações. Foto: Intezer/Divulgação

De acordo com a Intezer, o Execmac já teve ligações no passado com os trojans Windows Amadey e KPOT, atualmente disponíveis para compra em fóruns clandestinos.

Inclusive, a adoção de um novo RAT feito “do zero” para afetar ainda mais sistemas operacionais seria um dos motivos para Execmac abandonar os outros malwares.

Como saber se fui infectado?

A melhor maneira de saber se seu dispositivo está comprometido, é procurar pela instalação de qualquer um dos três aplicativos mencionados anteriormente.

Após a desinstalação dos apps, recomenda-se a alteração de todas as senhas e a transferência de fundos de criptomoeda para uma nova carteira.

O post da Intezer também disponibiliza links para que os usuários do Windows e Linux possam detectar o ElectroRAT em execução na memória.

Via: Ars Technica