A empresa de segurança cibernética, Trustwave Spiderlabs, identificaram novas ‘cepas’ de malware que furtam criptoativos de usuários em exchanges.
Estes malwares, chamados de Rilide, se disfarçam como uma extensão do Google Drive, e assim usam recursos integrados do Chrome para invadir computadores.
O software monitora as ações dos usuários ao fazer transações em exchanges de criptoativos e furtam criptoativos de usuários que não usam os devidos recursos de segurança em suas contas.
Malware que furta fundos dentro de exchanges
O Rilide é um malware que modifica arquivos de atalho ‘LNK’ e abre navegadores de destino que são executados com a opção ‘-load-extension’.
Com isto o malware inicia e injeta complementos maliciosos que dão acesso a diversas funções do computador de usuários aos criminosos cibernéticos.
Um dos recursos mais usados pelos criminosos cibernéticos substitui o endereço copiado da carteira criptográfica da vítima da área de transferência pelo endereço do invasor.
De acordo com a Trustwave, ‘o que torna esse malware diferente é que ele tem a capacidade eficaz e raramente usada de usar conversas falsas para induzir os usuários a revelar sua autenticação de dois fatores e, em seguida, retirar criptomoedas em segundo plano’.
A extensão injetada pelo Rilide pode até desabilitar o recurso de ‘política de segurança de conteúdo’, que é usado para que implemente no navegador proteção contra ataques de script entre sites.
- Leia também: ‘Mais fácil registrar heroína do que criptoativos’, diz advogado sobre reguladores dos EUA
Assim o malware permite carregar recursos externos que normalmente seriam bloqueados pelo seu navegador.
Rilide
O Rilide fazia parte do Ekipa RAT, um Trojan de acesso remoto (RAT) projetado para ataques direcionados, e do Aurora Stealer, identificado pela Trustwave no ano passado como um Malware-as-a-Service (MaaS).
De acordo com a Trustwave, evoluíram este malware para que possa coletar dados de vários navegadores da web, além carteiras de criptoativos e sistemas locais.
Os criminosos cibernéticos já espalharam o malware na plataforma do Google Ads, em drive, no Chrome, NVIDIA, entre outros. Os especialistas da Trustwave alertaram os detentores de criptoativos para serem ‘vigilantes e céticos saudáveis’.
Também para que observem quaisquer eventos não convencionais, páginas abertas sem comando ou caso recebam e-mails não solicitados.
Além disso, os usuários devem lembrar que ‘qualquer conteúdo na Internet não é seguro, mesmo que pareça ser’.
