Satacom: a nova ameaça para browsers que rouba criptomoedas
Os especialistas da Kaspersky descobriram esta nova ameaça, que utiliza uma extensão maliciosa para os browsers Chrome, Brave e Opera. Os atacantes implementam uma variedade de ações maliciosas para que a extensão não seja detetada quando o utilizador navega em sites de troca de criptomoedas, como o Coinbase ou o Binance. A extensão permite que os cibercriminosos ocultem quaisquer notificações de transação enviadas à vítima através destes sites e rouba-lhes silenciosamente as criptomoedas. O relatório detalhado sobre esta campanha está disponível no Securelist.
Esta campanha está ligada ao Satacom Downloader, uma notória família de malware ativa desde 2019 e distribuída principalmente através de publicidade maliciosa colocada em sites de terceiros. As ligações ou anúncios maliciosos redirecionam os utilizadores para falsos serviços de partilha de ficheiros e outras páginas maliciosas, que oferecem a possibilidade de descarregar um arquivo que contém o Satacom Downloader. No caso desta campanha recente, descarrega a extensão maliciosa para o browser.
Campanha instala uma extensão de browser que rouba criptomoedas e esconde a sua atividade
O principal objetivo da campanha é roubar bitcoin (BTC) das contas das vítimas através de injeções na web em sites de criptomoedas. No entanto, o malware pode ser facilmente modificado para visar outras criptomoedas. O malware tenta atingir o seu objetivo instalando uma extensão para browsers baseados no Chromium - como o Chrome, Brave e Opera - e visando utilizadores individuais que detenham criptomoedas em todo o mundo. De acordo com a telemetria da Kaspersky, os países mais afetados incluem o Brasil, a Argélia, a Turquia, o Vietname, a Indonésia, a Índia, o Egito e o México.
A extensão maliciosa executa manipulações no browser enquanto o utilizador navega nos sites de câmbio de criptomoedas visados. A campanha tem como alvo os utilizadores da Coinbase, Bybit, Kucoin, Huobi e Binance. Além de roubar criptomoedas, a extensão realiza ações adicionais para ocultar a sua atividade principal. Por exemplo, oculta as confirmações de e-mail das transações e modifica os tópicos de e-mail existentes dos sites de criptomoeda para criar tópicos falsos que se assemelham aos reais.
Exemplo de um e-mail fraudulento
"Os cibercriminosos melhoraram a extensão com a capacidade de a controlar através de alterações de scripts. Isto significa que podem facilmente visar outras criptomoedas. Além disso, também pode atacar o Windows, o Linux e o macOS. Recomendamos que os utilizadores verifiquem regularmente as suas contas em busca de atividades suspeitas e utilizem soluções de segurança fiáveis para se protegerem de ameaças como esta", afirma Haim Zigel, analista de malware da Kaspersky.
Para negociar criptomoedas com segurança, os especialistas da Kaspersky recomendam:
· Permaneça vigilante contra o phishing. Os burlões utilizam frequentemente e-mails de phishing ou sites falsos para levar a vítima a revelar as suas credenciais de início de sessão ou palavras-passe. Por conseguinte, é aconselhável verificar novamente o URL do site e não clicar em quaisquer ligações suspeitas.
· Nunca partilhe as chaves privadas que desbloqueiam a sua carteira de criptomoedas.
· Mantenha-se informado sobre as últimas ciberameaças e as melhores práticas para proteger as criptomoedas. Quanto mais souber sobre como se proteger, menor será a probabilidade de ser vítima de tais ataques.
· Antes de investir em qualquer criptomoeda, é importante analisar o projeto e conhecer a equipa por detrás dele. É importante visitar o site, bem como verificar o seu livro branco e as redes sociais para se certificar de que o projeto é legítimo.
· Utilize soluções de segurança fiáveis. Estas protegerão os dispositivos de diferentes tipos de ameaças. O Kaspersky Premium combate todos os esquemas de criptomoeda, conhecidos e desconhecidos, bem como a utilização não autorizada de computadores para extração de criptomoeda.
Encontre mais informações e detalhes técnicos sobre o Satacom na Securelist.
Post A Comment:
0 comments: