Com o surgimento das criptomoedas, não é uma surpresa que cibercriminosos estejam trabalhando para encontrar maneiras de tirar proveito de tokens ou criptomoedas dos usuários. Além dos ataques de ransomware que exigem pagamentos em criptomoedas ou dos ataques a exchanges, há também códigos maliciosos que tentam roubar esses ativos das vítimas. É por isso que neste artigo vamos analisar mais de perto uma técnica que, embora não seja nova, está sendo cada vez mais utilizada por cibercriminosos: o crypto clipping.

O que é crypto clipping e como podemos nos proteger desta ameaça? Responderemos estas e outras perguntas logo a seguir.

O que é crypto clipping?

No fim do ano passado, especialistas descobriram uma nova variante do malware Phorpiex projetada para roubar criptomoedas na etapa de transação. Chamada Twitz, esta nova variante da botnet Phorpiex foi propagada principalmente através de campanhas de phishing.

Quando a vítima desse malware realiza uma transação de criptomoedas, usando a técnica crypto clipping, a ameaça substitui automaticamente o endereço da carteira da vítima para redirecionar esses ativos para uma carteira controlada pelo atacante e assim roubar seu dinheiro.

Infelizmente, em mercados clandestinos na dark web ou em alguns casos até mesmo no Telegram, são oferecidos por um preço bastante acessível programas maliciosos baseados no modelo de malware como serviço (malware-as-a-service, em inglês)  que usa a técnica crypto clipping inserida no código.

É importante destacar que o uso da técnica crypto clipping por malwares não é uma novidade. Temos visto nos últimos anos que várias das famílias de trojans bancários mais comuns na América Latina, tais como Casbaneiro, Mispadu, Janeleiro ou algumas variantes do Mekotio, têm usado o crypto clipping para roubar dinheiro de carteiras. Também outras famílias de malware mais difundidas globalmente, tais como o Agent Tesla ou outras menos populares, tais como BackSwap e KryptoCibule. Inclusive, em 2019, pesquisadores detectaram um malware no Google Play Store direcionado a dispositivos móveis.

Phorpiex: uma botnet com bastante história

Em dezembro de 2021, pesquisadores detectaram a nova variante do Phorpiex projetada para roubar criptomoedas durante a etapa de transferências, mas acreditamos que as versões anteriores da ameaça não contava com essa técnica.

O Phorpiex, também conhecido como Trik, é uma botnet que foi detectada pela primeira vez em 2010. Essencialmente, é um worm de computador que tem sido usado acima de tudo para se aproveitar de computadores comprometidos para realizar o envio de spam de forma massiva. Mas também tem sido usado para baixar código malicioso para os computadores das vítimas, tais como ransomwares como GandCrab ou mineradores de criptomoedas como XMRig, e até mesmo para realizar ataques DDoS.

Essa botnet foi responsável por uma das maiores campanhas de sextorção durante o ano de 2019. O ataque consistia em um e-mail no qual a vítima era informada de que seu computador havia sido infectado e que havia sido filmada visitando sites para adultos. Portanto, se a vítima não pagasse uma quantia entre US$ 300 e US$ 5 mil em bitcoins, os golpistas ameaçavam o envio do vídeo para os contatos do usuário atacado.

Dicas para evitar ser vítima de malwares que usam o crypto clipping

Apesar de já termos destacado em publicação anteriores algumas dicas sobre como estar protegido contra golpes com criptomoedas, consideramos fundamental reforçar alguns pontos para evitar tornar-se uma vítima do crypto clipping:

  • Tenha sempre uma solução antimalware/antivírus instalada em seu computador para evitar ameaças.
  • Verifique o endereço da carteira virtual no momento da transação, pois desta forma o usuário pode detectar se o endereço foi substituído ao copiar e colar.
  • Não instale nenhum software que não seja baixado de fontes oficiais.
  • Esteja atento e não abra e-mails de phishing; muitos deles contêm malwares escondidos como anexos.
  • Antes de fazer transações com grandes valores em criptomoedas, é melhor realizar uma transação de teste com valores menores.
  • Tenha cuidado com as URLs, pois muitos cibercriminosos desenvolvem páginas falsas se fazendo passar por carteiras, exhanges ou outras plataformas para roubar dados de acesso de usuários.