Microsoft investiga ataque contra empresas de criptomoedas

Megacorporação disse que todas as vítimas detectadas já foram notificadas, mas podem ocorrer mais casos.

A Microsoft iniciou uma investigação sobre um ataque cibernético direcionado a empresas que trabalham no setor de criptomoedas. De acordo com a gigante de tecnologia, o ataque chega ao conhecimento público após um notável crescimento no uso das moedas descentralizadas.

O relatório foi liberado por meio da divisão de Inteligência de Ameaças à Segurança da Microsoft, na última terça-feira (6).

Assim, a empresa explicou que o interesse das pessoas movimentou negócios com criptomoedas. Em muitos casos, com ransomwares, hackers tentam obter vantagens com as moedas.

No entanto, as formas em que golpes de criptomoedas assumiram são diversas, devendo investidores tomarem cuidados.

Microsoft explica novo golpe que investigou com uso de planilhas Excel para roubo de criptomoedas

No relatório da nova ameaça descoberta pela equipe da Microsoft, a empresa deixa claro que o uso de ataques direcionados visam roubar criptomoedas das vítimas.

A ação detectada consistiu em um dos ataques mais complexos já detectados pela empresa. De acordo com o relatório, o agente nomeado ‘DEV-0139’ agiu para ganhar a confiança de uma vítima em um grupo do Telegram.

Se passando por representante da corretora de criptomoedas OKX, ele detectou uma vítima em potencial e criou um grupo privado com ela. O nome de usuário do hacker utilizava uma variação do nome da empresa, em busca de passar credibilidade.

O caso ocorrido em outubro de 2022 ainda chama atenção pela audácia do criminoso. Isso porque, ele disse que ao representar a OKX, estava estudando com investidores a estrutura de taxas das corretoras, quando pediu um feedback.

A vítima, disposta a colaborar, recebeu então uma planilha do Excel de nome “OKX Binance & Huobi VIP fee comparision.xls”. O arquivo continha uma série de dados precisos sobre as corretoras, o que mostra que o hacker preparou o terreno com cautela para o golpe.

Como o arquivo era supostamente para clientes “VIP”, era necessária uma senha para seu desbloqueio. No entanto, ao colocar a senha e desbloquear o Excel, muitos não percebiam que uma Macro também era habilitada e começava uma ação fraudulenta.

Passo a passo do golpe

Os passos do golpe foram compartilhados pela Microsoft, que informou já ter avisado as empresas sobre as novas campanhas maliciosas.

  1. Uma macro maliciosa no arquivo do Excel armado abusa do UserForm do VBA para ofuscar o código e recuperar alguns dados.
  2. A macro maliciosa solta outra planilha do Excel incorporada no formulário e a executa no modo invisível. A referida planilha do Excel é codificada em base64 e colocada em C:\ProgramData\Microsoft Media\ com o nome VSDB688.tmp
  3. O arquivo VSDB688.tmp baixa um arquivo PNG contendo três executáveis: um arquivo legítimo do Windows chamado logagent.exe, uma versão maliciosa da DLL wsock32.dll e um backdoor codificado em XOR.
  4. O arquivo logagent.exe é usado para carregar o wsock32.dll malicioso, que atua como um proxy DLL para o wsock32.dll legítimo . O arquivo DLL malicioso é usado para carregar e descriptografar o backdoor codificado em XOR que permite que o agente da ameaça acesse remotamente o sistema infectado.
Ataque direcionado contra empresas de criptomoedas detectado pela Microsoft
Ataque direcionado contra empresas de criptomoedas detectado pela Microsoft. Reprodução.

Como se proteger de fraudes no mercado de criptomoedas?

A Microsoft declarou que sua investigação sobre o golpe de criptomoedas encontrou outras campanhas similares. Ou seja, investidores e empresas do mercado devem redobrar a cautela ao receber arquivos suspeitos, principalmente planilhas que podem conter macros.

Para se proteger, a Microsoft acredita que as empresas devem reforças as campanhas educacionais para seus clientes, como a prevenção de malwares, proteção de informações pessoais e comerciais.

Além disso, os próprios clientes que trabalham com criptomoedas devem desabilitar a execução de macros em seus ambientes. Outra proteção recomendada é a ativação das regras de redução de superfície, que impede que arquivos do Office criem arquivos executáveis, que crie processos filhos e ainda bloqueiam chamadas de API de macros.

Por fim, a empresa não informou se a vítima do ataque perdeu suas criptomoedas, mas o alerta ao mercado busca coibir novos ataques.

Ganhe um bônus de R$ 100 de boas vindas. Crie a sua conta na melhor corretora de criptomoedas feita para Traders Profissionais. Acesse: bybit.com

Entre no nosso grupo exclusivo do WhatsApp | Siga também no Facebook, Twitter, Instagram, YouTube e Google News.

Gustavo Bertolucci
Gustavo Bertoluccihttps://github.com/gusbertol
Graduado em Análise de Dados e BI, interessado em novas tecnologias, fintechs e criptomoedas. Autor no portal de notícias Livecoins desde 2018.

Últimas notícias

Últimas notícias