A Trend Micro, empresa de segurança cibernética, fez uma descoberta preocupante para investidores em criptomoedas que utilizam o Windows. Uma vulnerabilidade crítica no Windows Defender SmartScreen, identificada como CVE-2023-36025, está sendo ativamente explorada por hackers.
A falha permite a infecção de sistemas com um novo tipo de malware chamado Phemedrone Stealer, que tem como alvo dados de navegadores web, carteiras de criptomoedas e aplicativos de mensagens como Telegram, Steam e Discord.
De acordo com a empresa, o Phemedrone é perigoso porque pode ser instalado facilmente no sistema, iniciando uma coleta de informações detalhadas do sistema, além de realizar capturas de tela e enviar dados roubados aos hackers.
O malware, desenvolvido em C# e mantido no GitHub e no Telegram, explora a falha ao criar arquivos de atalho da Internet (.url) que baixam e executam scripts maliciosos, evitando as verificações do Windows Defender.
Usuários de criptomoedas em risco
Embora a Microsoft tenha lançado uma atualização do Windows para corrigir a vulnerabilidade em novembro de 2023, a contínua exploração da vulnerabilidade sugere que usuários não instalaram o patch e seguem em risco.
Com hackers ainda espalhando o malware em redes sociais e grupos do Telegram, a Agência de Segurança Cibernética e de Infraestrutura (CISA) adicionou a vulnerabilidade à lista de alertas e Vulnerabilidades Exploradas Conhecidas (KEV).
Em suma, tudo que um usuário precisa fazer para ser afetado é clicar em um link malicioso, já que a infecção ocorre através de URLs, muitas vezes hospedadas em serviços como Discord, FileTransfer.io e disfarçados com encurtadores de URL.
Uma vez que um usuário abre o arquivo .url, ele inicia um processo de infecção complexo, que inclui a execução de um arquivo do Painel de Controle (.cpl) para contornar os avisos de segurança do Windows Defender.
O malware então começa a enviar dados aos hackers, incluindo informações importantes sobre o sistema comprometido, abrangendo aspectos como geolocalização, especificações de hardware, estatísticas de dados da web e recursos de segurança do sistema.
Carteiras de criptomoedas afetadas
A empresa recomendou que empresas e usuários do Windows atualizem imediatamente seus sistemas para a versão mais recente que contém o patch para a vulnerabilidade crítica.
A falha no Windows Defender, se não for corrigida, pode deixar os usuários vulneráveis a uma variedade de ataques de malware, incluindo o roubo de criptomoedas e dados do computador.
“O Malware extrai arquivos de vários aplicativos de carteira de criptomoedas, como Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus e Guarda.”, diz a TrendMicro.
No ano passado, vale lembrar, um Youtuber brasileiro perdeu 180 mil reais após baixar um software na internet e outro perdeu R$ 100 mil reais após baixar um software pirata. Sendo assim, usuários são recomendados a atualizarem seus sistemas.
O malware também coleta dados, incluindo senhas, cookies e informações de preenchimento automático armazenados em aplicativos como LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile, Microsoft Authenticator, entre outros.
Isso significa que uma vez infectado, o usuário pode ter todas as informações roubadas, não se restringindo apenas a ativos digitais. Com acesso às senhas das vítimas, os hackers podem acessar contas em corretoras e drenar as criptomoedas.
A TrendMicro também recomenda que usuários não abram links de encurtadores de URLs e arquivos .url, especialmente aqueles recebidos de fontes não verificadas, já que os hackers estão usando encurtadores de links e serviços de hospedagem de arquivos para espalhar o malware.