E-mails falsos sobre vulnerabilidades zero-day enganam usuários de criptomoedas, levando-os a executar códigos maliciosos.

Um novo golpe está enganando usuários de criptomoedas, levando-os a entregar seus fundos com a promessa de lucros instantâneos e exorbitantes. O esquema tem como alvo usuários do swapzone.io , um site popular para encontrar as melhores taxas de câmbio de criptomoedas, utilizando um código simples, porém eficaz, que manipula o que as vítimas veem em suas telas.

A equipe de pesquisa do Laboratório de Inteligência de Ameaças da Bolster AI investigou recentemente esse poderoso ataque baseado em JavaScript, observando que ele explora duas características humanas comuns: ganância e curiosidade.

A pesquisa da Bolster, compartilhada com o Hackread.com, revela que os atacantes usaram uma estratégia dupla de e-mail: enviando mensagens de plataformas gratuitas e anônimas ou imitando contas oficiais como “Desenvolvedor Claytho [email protected] .

Especialistas confirmaram que esses e-mails falsos foram retransmitidos por meio de um serviço gratuito de spoofing chamado Emkei's Mailer, em vez do sistema próprio da Swapzone. Os e-mails atraem usuários com uma "falha de segurança de dia zero" ou um "truque de lucro 100% garantido".

Para criar uma sensação de extrema urgência, eles alegam falsamente que a vulnerabilidade "zero-day" será corrigida em um ou dois dias, forçando os usuários a agirem rapidamente. Os pesquisadores registraram mais de 100 mensagens seguindo esse padrão em apenas 48 horas.

Investigações adicionais revelaram que o golpe estava presente até mesmo em fóruns privados de crimes cibernéticos , como o de um usuário chamado Nexarmudor. Descobriu-se que um usuário do darkforums.st , uma plataforma da web clara e da dark web, enganava membros do fórum.

As vítimas são direcionadas para um link malicioso do Google Docs com um breve guia que as instrui a colar uma única linha de código, começando com javascript:, na barra de endereços do navegador. Isso é tudo o que é preciso para que o problema comece, pois colar esse código é o mesmo que executar um programa no seu dispositivo, um risco do qual a maioria dos usuários geralmente não tem conhecimento.

Assim que o pequeno trecho de código é executado, ele carrega um programa oculto muito maior que assume o controle da sessão do navegador da vítima, enganando o usuário visualmente. Ele começa imediatamente a alterar a exibição do site, por exemplo, inflando os retornos mostrados ao usuário. Um guia, intitulado "Swapzone.io – Método de Lucro ChangeNOW", prometia pagamentos cerca de 37% maiores do que o normal.

O programa também adiciona elementos falsos, como telas "bloqueadas" por falsos cronômetros de contagem regressiva para criar uma sensação de urgência. A parte mais prejudicial é que, quando a vítima tenta concluir a transação, o código oculto direciona o pagamento para um endereço de carteira controlado pelo atacante, copiando silenciosamente o endereço da carteira de criptomoedas do criminoso para a área de transferência do usuário. Os pesquisadores da Bolster encontraram um conjunto de endereços prontos para diferentes criptomoedas, demonstrando que a operação criminosa é bem organizada.

Os pesquisadores enfatizam que, seja você um usuário regular de criptomoedas ou apenas alguém que busca investir, a ânsia por lucro rápido pode tornar qualquer pessoa vulnerável. É por isso que eles aconselham nunca colar trechos de JavaScript de fontes não confiáveis ​​na barra de endereços.

“Essa descoberta revelou como as táticas de engenharia social estão sendo reaproveitadas dentro dos próprios espaços dos agentes de ameaça, mostrando que mesmo indivíduos experientes em ecossistemas clandestinos são vulneráveis ​​à manipulação quando a ganância e a urgência estão envolvidas”, conclui o relatório.