Sites fraudulentos de criptomoedas estão sendo roubados

Em uma situação bastante inusitada, alguns sites fraudulentos de criptomoedas estão sendo roubados por hackers.

Em um exemplo perfeito de que não há honra entre os ladrões, um agente de ameaças chamado ‘Water Labbu’ está invadindo sites fraudulentos de criptomoedas para injetar JavaScript malicioso que rouba fundos das vítimas do golpista.

Sites fraudulentos de criptomoedas estão sendo roubados

Sites fraudulentos de criptomoedas estão sendo roubados
Sites fraudulentos de criptomoedas estão sendo roubados

Em julho, o FBI alertou sobre golpes ‘dApps’ (aplicativos descentralizados) que personificavam serviços de mineração de liquidez de criptomoedas, mas, na realidade, roubavam os investimentos em criptomoedas de uma vítima.

A mineração de liquidez é quando um investidor empresta sua criptomoeda a uma exchange descentralizada em troca de altas recompensas, geralmente geradas por meio de taxas de negociação.

No entanto, em vez de criar seus próprios sites fraudulentos, o Water Labbu invade esses tipos de sites falsos de dApp e injeta código JavaScript no HTML do site.

Sites fraudulentos de criptomoedas estão sendo roubados
Sites fraudulentos de criptomoedas estão sendo roubados – Site fraudulento infectado pelo DApp da Water Labbu (Trend Micro)

Os hackers não se envolvem com as vítimas e, em vez disso, deixam todo o trabalho de engenharia social para os golpistas.

Quando um investidor se conecta à sua carteira ao dApp, o script do Water Labbu detectará se ele contém muitas participações em criptomoedas e, em caso afirmativo, tentará roubá-lo usando vários métodos descritos abaixo.

De acordo com os analistas, a Water Labbu comprometeu pelo menos 45 sites fraudulentos, a maioria seguindo o tema “compromisso de liquidez de mineração sem perdas”.

A Trend Micro diz que o lucro obtido pela Water Labbu é estimado em pelo menos US$ 316.728 com base em registros de transações de nove vítimas identificadas.

O agente de ameaças parasita localiza sites fraudulentos de criptomoedas e injeta os “dapps” com scripts maliciosos que se misturam facilmente com os sistemas do site.

“Em um dos casos que analisamos, Water Labbu injetou uma tag IMG para carregar um payload JavaScript codificado em Base64 usando o evento ‘onerror’, no que é conhecido como técnica de evasão XSS, para contornar filtros Cross-Site Scripting (XSS).”, detalha o relatório da Trend Micro.

“A carga útil injetada cria outro elemento de script que carrega outro script do servidor de entrega tmpmeta[.]com.”

O script monitora as carteiras recém-conectadas nos sites fraudulentos e recupera o endereço e os saldos das carteiras TetherUSD e Ethereum.

Sites fraudulentos de criptomoedas estão sendo roubados
Sites fraudulentos de criptomoedas estão sendo roubados – Script coletando saldos de carteiras conectadas (Trend Micro)

Se o saldo estiver acima de 0,005 ETH ou 22.000 USDT, o alvo é válido para Water Labbu e o script determina se a vítima está usando Windows ou um sistema operacional móvel (Android, iOS).

Se a vítima estiver em um dispositivo móvel, o script malicioso do Water Labbu envia uma solicitação de aprovação de transação pelo site dApp, para que pareça que vem do site fraudulento.

Se o destinatário concordar com a transação, o script malicioso drenará os fundos da carteira e os enviará para um endereço de propriedade da Water Labbu.

Solicitação de transação maliciosa (Trend Micro)
Sites fraudulentos de criptomoedas estão sendo roubados – Solicitação de transação maliciosa (Trend Micro)

Para usuários do Windows, os sites invadidos mostrarão um aviso falso de atualização do Flash Player sobreposto no site fraudulento. O instalador do Flash é, na realidade, um backdoor obtido diretamente do GitHub.

Os agentes de ameaças usam esse backdoor para roubar carteiras de criptomoedas e cookies do dispositivo.

Diagrama de ataque do Water Labbu
Sites fraudulentos de criptomoedas estão sendo roubados – Diagrama de ataque do Water Labbu (Trend Micro)

Para as vítimas, o resultado é o mesmo; eles perdem toda a sua criptomoeda.

A única coisa que mudou com esse ataque é que os ativos digitais da vítima são desviados do golpista original para o grupo de hackers Water Labbu.

Para evitar esses tipos de golpes, sempre pesquise sites de dApp, especialmente plataformas de mineração de liquidez, para determinar se eles são legítimos antes de conectar sua carteira a eles.

Além disso, revise periodicamente os sites permitidos da sua carteira para garantir que você não adicionou um site fraudulento inadvertidamente.

Por fim, nunca entre em investimentos com estranhos que você conhece nas mídias sociais, pois eles geralmente levam a golpes e evite negociar criptomoedas em trocas desconhecidas.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.