A S21sec descobriu um novo malware que rouba criptomoedas. A investigação permitiu perceber que tudo começa com uma mensagem nas redes sociais.
A equipa de Threat Intelligence da S21sec, uma das principais empresas de cibersegurança na Europa, publicou um relatório especial após uma investigação aprofundada sobre a deteção global de um malware chamado CryptoLove Loader. Este malware está principalmente associado ao roubo de carteiras de criptomoedas.
Ameaça cibernética e dificuldade de deteção
A descoberta resulta da monitorização contínua da campanha do grupo cibercriminoso CryptoLove. O relatório destaca a dificuldade de deteção deste malware que rouba criptomoedas, e que também permite a execução de outros tipos de ameaças. Os especialistas detetaram pela primeira vez o malware em janeiro.
Rouba criptomoedas depois de mensagem nas redes sociais
A infeção por este malware começa com uma mensagem relacionada com criptomoedas nas redes sociais. Os atacantes, identificados como CryptoLove Team, verificam se a vítima tem uma quantidade considerável de fundos numa das suas carteiras de criptomoedas e, em seguida, iniciam o esquema. O objetivo é levar a vítima a visitar a sua página e fazer o download do launcher correspondente.
O ficheiro executável, não detetado por antivírus ou browsers, funciona como um Loader (ou bootloader), um componente crucial no processo de arranque de um dispositivo.
Através deste ataque, são ativados diferentes tipos de malware e distribuídos no computador da vítima com a intenção de roubar credenciais do browser ou da carteira de criptomoedas.
Primeira vez que se deteta campanha deste tipo
Esta é a primeira vez que uma campanha deste tipo é documentada, bem como o atacante por detrás dela, conhecido como CryptoLover_RON. O principal objetivo deste atacante é instalar o malware que rouba criptomoedas através de esquemas que envolvem NFTs (Non-Fungible Token), ativos digitais encriptados.
O relatório publicado pela S21sec detalha toda a investigação, descrevendo as táticas dos cibercriminosos, o comportamento do malware e até apresentando screenshots das descobertas e perfis do grupo criminoso detetado.
O relatório também fornece o manual desenvolvido pelos membros da equipa CryptoLove, o funcionamento passo a passo do ataque e, no final, apresenta recomendações detalhadas para se proteger deste ataque.
Em caso de ataque, a S21Sec recomenda a realização de um exercício de Threat Hunting com análise forense. A S21Sec fornece serviços geridos de SOC e MEDR, que são a base para fornecer proteção contra incidentes como estes e tem uma equipa altamente especializada de Resposta a Incidentes graves de segurança para situações de compromisso que requerem ação urgente.
Outros artigos interessantes:
