O novo Masad Stealer e Clippper tem como alvo os investidores em criptomoedas
Dizer que os investidores em criptomoedas estiveram em um passeio selvagem nos últimos anos seria um eufemismo. O que antes era aclamado como o dinheiro do futuro provou ser bastante instável, e a volatilidade do mercado afastou muitas pessoas do conceito de possuir dinheiro digital. O comércio ainda está em andamento, e existem muitos cibercriminosos dispostos a fazer parte da ação também. Os criadores do Masad Stealer e Clipper, por exemplo, criaram algumas maneiras interessantes de (entre outras coisas) roubar moedas digitais de usuários desavisados.
Pesquisadores do Juniper Threat Labs foram os primeiros a analisar e comentar o malware na semana passada . Eles não disseram quando avistaram Masad pela primeira vez, mas observaram que, no total, viram mais de 1.000 amostras usadas em aproximadamente 340 campanhas separadas.
Masad - um malware poderoso para roubar informações que qualquer um pode comprar
Obviamente, nem todas essas campanhas são executadas pelo mesmo grupo de criminosos. Masad é na verdade um malware de prateleira que os cibercriminosos com algumas moedas nos bolsos podem comprar. Existe até uma versão gratuita, embora de acordo com os especialistas, ela tenha funcionalidade limitada. A variante completa de sinos e assobios é bastante poderosa, custa US $ 85, e os clientes em potencial podem obtê-la através de um grupo Telegram que, quando os especialistas da Juniper verificaram, tinha pouco mais de 300 usuários ativos.
Como funciona o Masad
O mesmo bate-papo em grupo também é usado para suporte técnico, e o fato de os criminosos escolherem esse aplicativo específico para se comunicar com seus clientes provavelmente não deve ser tão surpreendente. O malware em si usa o serviço de bate-papo criptografado como um canal de Comando e Controle (C&C), o que significa que é menos provável que seja detectado porque o protocolo Telegram é usado para fins completamente legítimos por mais de 200 milhões de pessoas.
Dependendo da campanha, os usuários podem encontrar o Masad como um arquivo independente ou com outros aplicativos. Os especialistas viram tentando personificar ferramentas de otimização do sistema, como o CCleaner, os utilitários internos do Windows, bem como programas de cracking para videogames e software pago.
Após a execução, o Masad se solta na pasta% AppData% e estabelece a persistência com a ajuda de uma tarefa agendada que a executa uma vez a cada sessenta segundos. Em seguida, a operação de coleta de informações é iniciada.
Quando os pesquisadores executaram o Masad em sua caixa de areia, o malware não conseguiu roubar muito. Alguns dados do sistema foram salvos em um arquivo TXT, os cookies do navegador e os arquivos da área de trabalho foram organizados em duas pastas separadas, e tudo isso, juntamente com uma captura de tela do que a vítima estava vendo, foi automaticamente colocado em um arquivo 7Z e preparado para ser enviado a um bot do Telegram controlado pelos operadores.
Quando eles examinaram o código do malware, no entanto, os especialistas viram que Masad é capaz de roubar muito mais. O malware pode coletar e extrair qualquer coisa dos arquivos do Steam, através de todos os tipos de carteiras de criptomoedas, até senhas e cartões de crédito salvos nos navegadores da web . A monetização de todos esses dados pode ser bastante lucrativa, mas, com certeza, os criadores de Masad acrescentaram outro truque que pode ajudá-los a gerar ainda mais moedas criptográficas.
O malware foi projetado para monitorar constantemente a área de transferência do dispositivo infectado. Se considerar que a vítima copiou um endereço de criptomoeda, o Masad o troca automaticamente por um endereço que os autores do malware anteriormente haviam codificado anteriormente no malware. Dessa forma, se o usuário não localizar o endereço diferente ao colá-lo no campo pretendido, a criptomoeda será redirecionada para uma carteira controlada pelos bandidos.
É uma tática interessante que parece ser bastante eficaz. Os pesquisadores da Juniper examinaram uma carteira usada durante uma das campanhas e constataram que, em 15 de setembro, ela já havia recebido mais de US $ 9.000, embora apontassem que não há como saber se o valor total é o resultado da campanha Masad.
Seja como for, o Masad é claramente uma ameaça formidável não apenas para os investidores em criptomoedas, mas para todos. Como sempre, proteger-se contra isso envolve baixar apenas software legítimo de fontes legítimas e manter um sistema bem protegido e completamente corrigido.