Atualize seu WIndows: Hackers exploram vulnerabilidade para roubar Bitcoin e criptomoedas

O malware também coleta dados, incluindo senhas, cookies e informações de preenchimento automático armazenados em aplicativos como LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile, Microsoft Authenticator, entre outros.

A Trend Micro, empresa de segurança cibernética, fez uma descoberta preocupante para investidores em criptomoedas que utilizam o Windows. Uma vulnerabilidade crítica no Windows Defender SmartScreen, identificada como CVE-2023-36025, está sendo ativamente explorada por hackers.

A falha permite a infecção de sistemas com um novo tipo de malware chamado Phemedrone Stealer, que tem como alvo dados de navegadores web, carteiras de criptomoedas e aplicativos de mensagens como Telegram, Steam e Discord.

De acordo com a empresa, o Phemedrone é perigoso porque pode ser instalado facilmente no sistema, iniciando uma coleta de informações detalhadas do sistema, além de realizar capturas de tela e enviar dados roubados aos hackers.

O malware, desenvolvido em C# e mantido no GitHub e no Telegram, explora a falha ao criar arquivos de atalho da Internet (.url) que baixam e executam scripts maliciosos, evitando as verificações do Windows Defender.

CVE-2023-36025 (Imagem: TrendMicro)
CVE-2023-36025 (Imagem: TrendMicro)

Usuários de criptomoedas em risco

Embora a Microsoft tenha lançado uma atualização do Windows para corrigir a vulnerabilidade em novembro de 2023, a contínua exploração da vulnerabilidade sugere que usuários não instalaram o patch e seguem em risco.

Com hackers ainda espalhando o malware em redes sociais e grupos do Telegram, a Agência de Segurança Cibernética e de Infraestrutura (CISA) adicionou a vulnerabilidade à lista de alertas e Vulnerabilidades Exploradas Conhecidas (KEV).

Em suma, tudo que um usuário precisa fazer para ser afetado é clicar em um link malicioso, já que a infecção ocorre através de URLs, muitas vezes hospedadas em serviços como Discord, FileTransfer.io e disfarçados com encurtadores de URL.

Uma vez que um usuário abre o arquivo .url, ele inicia um processo de infecção complexo, que inclui a execução de um arquivo do Painel de Controle (.cpl) para contornar os avisos de segurança do Windows Defender.

O malware então começa a enviar dados aos hackers, incluindo informações importantes sobre o sistema comprometido, abrangendo aspectos como geolocalização, especificações de hardware, estatísticas de dados da web e recursos de segurança do sistema.

Relatório de resumo decodificado por URL de dados exfiltrados (TrendMicro)
Relatório de resumo decodificado por URL de dados exfiltrados (TrendMicro)

Carteiras de criptomoedas afetadas

A empresa recomendou que empresas e usuários do Windows atualizem imediatamente seus sistemas para a versão mais recente que contém o patch para a vulnerabilidade crítica.

A falha no Windows Defender, se não for corrigida, pode deixar os usuários vulneráveis a uma variedade de ataques de malware, incluindo o roubo de criptomoedas e dados do computador.

“O Malware extrai arquivos de vários aplicativos de carteira de criptomoedas, como Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus e Guarda.”, diz a TrendMicro.

CVE-2023-36025 dados roubados
CVE-2023-36025 dados roubados

No ano passado, vale lembrar, um Youtuber brasileiro perdeu 180 mil reais após baixar um software na internet e outro perdeu R$ 100 mil reais após baixar um software pirata. Sendo assim, usuários são recomendados a atualizarem seus sistemas.

O malware também coleta dados, incluindo senhas, cookies e informações de preenchimento automático armazenados em aplicativos como LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile, Microsoft Authenticator, entre outros.

Isso significa que uma vez infectado, o usuário pode ter todas as informações roubadas, não se restringindo apenas a ativos digitais. Com acesso às senhas das vítimas, os hackers podem acessar contas em corretoras e drenar as criptomoedas.

A TrendMicro também recomenda que usuários não abram links de encurtadores de URLs e arquivos .url, especialmente aqueles recebidos de fontes não verificadas, já que os hackers estão usando encurtadores de links e serviços de hospedagem de arquivos para espalhar o malware.

$100 de bônus de boas vindas. Crie sua conta na maior corretora de criptomoedas do mundo e ganhe até 100 USDT em cashback. Acesse Binance.com

Entre no nosso grupo exclusivo do WhatsApp | Siga também no Facebook, Twitter, Instagram e YouTube.

Vinicius Golveia
Vinicius Golveia
Formado em sistema da informação pela PUC-RJ e Pós-graduado em Jornalismo Digital. Conhece o Bitcoin desde 2014, atuando como desenvolvedor de blockchain em diversas empresas. Atualmente escreve para o Livecoins sobre assuntos de criptomoedas. Gosta de cultura POP / Geek. Se não estiver escrevendo notícias relevantes, provavelmente está assistindo alguma série.

Últimas notícias