Os cibercriminosos estão sempre a tentar capitalizar nas novas modas do turbulento espaço das criptomoedas para conseguir controlo remoto dos computadores dos utilizadores, roubando-lhes as passwords e o dinheiro. A ESET, líder europeu em soluções de cibersegurança, detetou uma nova campanha de malware que imita a app da criptomoeda SafeMoon, usando uma atualização falsa de forma a direcionar utilizadores do Discord, uma plataforma de VoIP e mensagem instantânea, para um website que distribui um conhecido RAT (remote access tool).
A SafeMoon é uma das mais recentes altcoins (criptomoedas alternativas ao Bitcoin) a ganhar tração. Desde a sua criação há seis meses, a SafeMoon tem crescido rapidamente em popularidade (e volatilidade), com a ajuda de vários influencers e entusiastas nas redes sociais. Infelizmente, este entusiasmo não passou despercebido aos cibercriminosos, que têm visado utilizadores de criptomoedas há anos.
A campanha que tira partido da súbita popularidade da SafeMoon começa com uma mensagem que os cibercriminosos enviam a utilizadores do Discord onde se fazem passar pela conta oficial da SafeMoon a promover uma nova versão da app. Se um utilizador clicar no URL da mensagem, vai parar a um website feito para parecer o oficial da SafeMoon. Até o nome de domínio é semelhante ao verdadeiro, adicionando uma letra extra no final na esperança que a vítima não repare.
Todas as ligações externas do site falso são legítimas, exceto a mais importante: a de download da app SafeMoon da Google Play Store. Em vez da app legítima, a ligação descarrega malware que inclui um RAT chamado Remcos, permitindo aos atacantes recolher dados sensíveis da vítima, incluindo credenciais de web browsers, cliques do teclado, vídeo da webcam e áudio do microfone, podendo também descarregar e executar malware adicional na máquina infetada.
A ESET tem algumas dicas para se proteger deste ataque e outros do mesmo tipo:
- Suspeite de qualquer comunicação inesperada, seja por email, redes sociais, SMS ou outros canais;
- Não clique nas ligações em mensagens desse tipo, especialmente quando a origem é uma fonte não-verificada;
- Esteja atento a irregularidade nos URLs: o melhor é escrevê-los manualmente;
- Use passwords fortes e únicas, juntamente com autenticação de dois fatores;
- Use software de segurança comprovado, como o da ESET.
No que toca a criptomoedas, proceda sempre com cuidado, não só porque o mercado está cheio de esquemas e fraudes, mas também por uma questão de segurança. Screenshots e detalhes técnicos do malware aqui descrito encontram-se neste artigo em inglês.