{"id":22830,"date":"2024-07-30T15:35:39","date_gmt":"2024-07-30T18:35:39","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22830"},"modified":"2024-07-30T15:35:39","modified_gmt":"2024-07-30T18:35:39","slug":"cryptowallet-seed-phrase-fake-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/cryptowallet-seed-phrase-fake-leaks\/22830\/","title":{"rendered":"Armadilha de criptomoedas para os gananciosos, ou: como roubar de um ladr\u00e3o"},"content":{"rendered":"

Passamos v\u00e1rios meses pesquisando um novo e sofisticado golpe de criptomoeda. Nele, as v\u00edtimas foram lenta e habilmente incentivadas a instalar um aplicativo malicioso de gerenciamento de criptomoedas. No entanto, as pessoas que foram enganadas n\u00e3o eram v\u00edtimas inocentes, porque os operadores do golpe, agindo como alguns Robin Hoods digitais, tinham outros ladr\u00f5es como alvo. Vamos analisar em profundidade esse golpe e aprender como proteger sua carteira de criptomoedas<\/a>.<\/p>\n

A isca inicial<\/h2>\n

Tudo come\u00e7ou quando recebi no Telegram uma mensagem bastante comum sobre criptomoedas. Outros poderiam t\u00ea-la ignorado, mas como l\u00edder da equipe de analistas de conte\u00fado da Web da Kaspersky, notei algo suspeito e decidi investigar. Para evitar a detec\u00e7\u00e3o, a mensagem continha um videoclipe de cinco segundos, com uma captura de tela mostrando uma venda apressada e com grandes descontos de dois lucrativos projetos de criptomoedas, com os respectivos links para eles. Para criar uma falsa sensa\u00e7\u00e3o de seguran\u00e7a, o primeiro link direcionou os destinat\u00e1rios para uma transa\u00e7\u00e3o real de segundo n\u00edvel, de pequeno valor. A verdadeira isca estava escondida no outro link.<\/p>\n

\"A<\/a>

A captura de tela do an\u00fancio de venda do projeto de criptomoedas estava inserida em um videoclipe de cinco segundos. Essa \u00e9 uma bandeira vermelha!<\/p><\/div>\n

Um conveniente mau funcionamento do servidor<\/h2>\n

Ao contr\u00e1rio do que se poderia esperar, o link n\u00e3o tinha nenhum conte\u00fado malicioso. A coisa era muito mais interessante: se voc\u00ea digitasse o endere\u00e7o esperando ver uma p\u00e1gina inicial, o navegador exibia uma listagem de diret\u00f3rios raiz com alguns nomes de arquivo atraentes. Aparentemente, o servidor havia sido configurado incorretamente ou a p\u00e1gina inicial havia sido exclu\u00edda acidentalmente, revelando todos os dados do desavisado propriet\u00e1rio do dom\u00ednio. Era poss\u00edvel clicar em qualquer arquivo na lista e visualizar o conte\u00fado diretamente no navegador, porque, convenientemente, todos eles tinham formatos comuns e f\u00e1ceis de manusear, como TXT, PDF, PNG ou JPG.<\/p>\n

\"Era<\/a>

Era poss\u00edvel ver uma lista de arquivos na pasta raiz. N\u00e3o havia um \u00fanico arquivo HTML<\/p><\/div>\n

Isso dava ao visitante a sensa\u00e7\u00e3o de estar dentro da pasta de dados pessoais de um propriet\u00e1rio rico, mas est\u00fapido, de um projeto de criptomoedas. Os arquivos de texto continham detalhes da carteira, incluindo frases-semente, e as imagens eram capturas de tela mostrando comprovantes de uma grande quantidade de criptomoedas sendo enviadas com sucesso, saldos substanciais nas carteiras e o estilo de vida luxuoso do propriet\u00e1rio.<\/p>\n

\"O<\/a>

O arquivo de texto continha endere\u00e7os, logins, senhas, frases-semente, chaves de recupera\u00e7\u00e3o, PINs e chaves privadas cuidadosamente coletados<\/p><\/div>\n

Uma das capturas de tela tinha um v\u00eddeo do YouTube em segundo plano, explicando como comprar iates e Ferraris com Bitcoin. Um cat\u00e1logo em PDF desses iates podia ser facilmente encontrado no mesmo diret\u00f3rio. Em poucas palavras, era uma isca realmente suculenta.<\/p>\n

\"A<\/a>

A tela mostrava um snapshot da vida de um rico que n\u00e3o trabalha. Ent\u00e3o, qual \u00e9 a MANEIRA CORRETA de comprar uma Ferrari e um iate com Bitcoin?<\/p><\/div>\n

Carteiras reais e dinheiro<\/h2>\n

A intelig\u00eancia nesse golpe \u00e9 que os detalhes da carteira s\u00e3o reais e \u00e9 poss\u00edvel acessar as carteiras e visualizar, digamos, o hist\u00f3rico de transa\u00e7\u00f5es da carteira Exodus ou os ativos em outras carteiras, no valor de quase 150 mil d\u00f3lares, de acordo com o DeBank.<\/p>\n

\"A<\/a>

A carteira Exodus est\u00e1 vazia, mas \u00e9 real, e algu\u00e9m a usou recentemente<\/p><\/div>\n

Mas n\u00e3o deveria ser poss\u00edvel de sacar nada, pois os fundos estavam bloqueados<\/a>, ou seja, vinculados \u00e0 conta. No entanto, isso faz com que o visitante se torne muito menos c\u00e9tico: isso parece simplesmente ser o vazamento descuidado de dados reais de algu\u00e9m, e n\u00e3o spam ou phishing. Al\u00e9m disso, n\u00e3o havia links externos ou arquivos maliciosos em qualquer lugar, nada para suspeitar!<\/p>\n

\"As<\/a>

As quantias nas outras carteiras eram grandes. Pena que os fundos estavam apostados (bloqueados)<\/p><\/div>\n

Monitoramos o site por dois meses, sem notar altera\u00e7\u00f5es. Os golpistas pareciam aguardar a concentra\u00e7\u00e3o de um grande n\u00famero de interessados, enquanto monitoravam o comportamento deles por meio de an\u00e1lise de servidor Web. Foi somente ap\u00f3s esse longo per\u00edodo que eles prosseguiram para a pr\u00f3xima etapa do ataque.<\/p>\n

Uma nova esperan\u00e7a<\/h2>\n

A dram\u00e1tica pausa de dois meses finalmente terminou com uma atualiza\u00e7\u00e3o: uma nova captura de tela do Telegram supostamente mostrando um pagamento bem-sucedido do Monero. Se olharmos mais de perto a captura de tela, veremos um aplicativo de carteira \u201cElectrum-XMR\u201d com um registro de transa\u00e7\u00f5es e um saldo consider\u00e1vel de quase 6 mil tokens Monero (XMR), no valor de cerca de um milh\u00e3o de d\u00f3lares no momento da publica\u00e7\u00e3o deste artigo.<\/p>\n

\"A<\/a>

A fase ativa come\u00e7ava: uma carteira aparentemente contendo cerca de um milh\u00e3o de d\u00f3lares<\/p><\/div>\n

Por uma feliz coincid\u00eancia, um novo arquivo de texto com a frase-semente para a carteira aparecia ao lado da captura de tela.<\/p>\n

\"A<\/a>

A frase-semente para a carteira foi a isca<\/p><\/div>\n

Nesse ponto, qualquer pessoa desonesta o suficiente se apressou para baixar uma carteira Electrum para fazer login na conta da v\u00edtima descuidada e pegar o dinheiro restante. M\u00e1 sorte: a Electrum \u00e9 compat\u00edvel apenas com Bitcoin, n\u00e3o Monero, e uma chave privada (e n\u00e3o uma frase-semente) \u00e9 necess\u00e1ria para recuperar o acesso \u00e0 conta. Ao tentar restaurar a chave da frase-semente, todos os conversores leg\u00edtimos informavam que o formato da frase-semente era inv\u00e1lido.<\/p>\n

No entanto, a gan\u00e2ncia estava prejudicando o julgamento dos usu\u00e1rios: afinal, havia um milh\u00e3o de d\u00f3lares em jogo, e eles precisavam agir antes que algu\u00e9m roubasse esse valor. Os trapaceiros, que queriam um dinheiro f\u00e1cil, foram pesquisar \u201cElectrum XMR\u201d ou simplesmente \u201cElectrum Monero\u201d no Google. Seja como for, o principal resultado era um site aparentemente sobre um fork (um c\u00f3digo modificado) do Electrum compat\u00edvel com o Monero.<\/p>\n

A vers\u00e3o \"certa\" da carteira aparecia na parte superior dos resultados da pesquisa<\/a>

A vers\u00e3o \u201ccerta\u201d da carteira aparecia na parte superior dos resultados da pesquisa<\/p><\/div>\n

Seu design era semelhante ao do site original do Electrum e, na forma t\u00edpica de c\u00f3digo aberto, apresentava todos os tipos de descri\u00e7\u00f5es, links para o GitHub (o reposit\u00f3rio original do Electrum, no entanto, n\u00e3o o Electrum-XMR), uma nota que informava explicitamente que se tratava de fork compat\u00edvel com Monero, al\u00e9m de links diretos \u00fateis para instaladores macOS, Windows e Linux.<\/p>\n

\"O<\/a>

O site do aplicativo de carteira falso foi muito bem constru\u00eddo<\/p><\/div>\n

E \u00e9 nesse momento que o ca\u00e7ador involuntariamente se torna a presa. Baixar e instalar o Electrum-XMR infecta o computador com o malware identificado pela Kaspersky como Backdoor.OLE2.RA-Based.a<\/em>, que fornece aos invasores acesso remoto secreto. O pr\u00f3ximo passo era, provavelmente, verificar o conte\u00fado da m\u00e1quina e roubar dados de carteiras de criptomoedas e qualquer outra informa\u00e7\u00e3o valiosa.<\/p>\n

Nossa solu\u00e7\u00e3o de seguran\u00e7a<\/a>\u00a0teria bloqueado o site malicioso, e certamente uma tentativa de instalar o Cavalo de Troia, mas os ca\u00e7adores de criptomoedas ansiosos por colocar as m\u00e3os no dinheiro de outras pessoas dificilmente estariam entre nossos usu\u00e1rios.<\/p>\n

\"Nossa<\/a>

Nossa seguran\u00e7a bloqueia o site malicioso e certamente uma tentativa de instalar o Cavalo de Troia<\/p><\/div>\n

De repente, uma segunda itera\u00e7\u00e3o<\/h2>\n

Algum tempo depois, quando terminamos de investigar esse feito de engenharia social, recebemos outra isca, o que n\u00e3o foi uma surpresa. Desta vez, os golpistas mudaram de uma abordagem lenta para um ritmo r\u00e1pido. A captura de tela mostrava uma carteira falsa com um grande saldo ao lado de um arquivo de texto aberto contendo muitas informa\u00e7\u00f5es pessoais, al\u00e9m de um link para um site malicioso cuidadosamente adicionado. Parece que esse golpe aparentemente funcionou bem, e estamos prestes a receber muitos ataques semelhantes.<\/p>\n

\"Na<\/a>

Na vers\u00e3o dois, os golpistas foram direto ao assunto, coletando todas as informa\u00e7\u00f5es relevantes em uma captura de tela<\/p><\/div>\n

Reconhecendo o ataque<\/h2>\n

As v\u00edtimas do golpe que discutimos acima n\u00e3o evocam nenhuma simpatia, considerando que morderam a isca tentando roubar o dinheiro de outras pessoas. No entanto, os golpistas continuam inventando novos truques e, da pr\u00f3xima vez, voc\u00ea poderia receber uma maneira bastante \u00e9tica de ganhar dinheiro. Por exemplo, voc\u00ea pode acidentalmente obter uma captura de tela anunciando uma lucrativa distribui\u00e7\u00e3o airdrop de criptomoedas, com o link na barra de endere\u00e7os\u2026<\/p>\n

Portanto, fique alerta e receba qualquer informa\u00e7\u00e3o com grande ceticismo. Cada fase no ataque era suspeita \u00e0 sua maneira. O an\u00fancio de venda no site era apresentado na forma de um videoclipe com uma captura de tela, obviamente para contornar algoritmos antispam. Um site contendo nada al\u00e9m de arquivos de texto n\u00e3o criptografados com dados de carteiras de criptomoedas parecia bom demais para ser verdade. O dom\u00ednio que supostamente hospedava o fork da carteira de criptomoedas havia sido registrado apenas dois meses antes do ataque. No entanto, o mais importante \u00e9 que o cen\u00e1rio de criptomoedas repleto de fraudes torna o uso de aplicativos de carteira pouco conhecidos um risco inaceit\u00e1vel. Portanto, siga estas etapas:<\/p>\n