Os investidores de criptomoedas estão a ser alvo de uma nova e sofisticada campanha maliciosa. Criminosos informáticos estão a abusar da secção de comentários do Pastebin para distribuir um ataque do estilo ClickFix. O objetivo é enganar os utilizadores para que executem código JavaScript malicioso diretamente no browser, permitindo aos atacantes desviar transações de Bitcoin para as suas próprias carteiras. A descoberta foi detalhada pela BleepingComputer.
A falsa promessa de lucros fáceis
A campanha baseia-se em engenharia social clássica, prometendo grandes lucros através de um suposto erro na plataforma Swapzone. Os atacantes percorrem publicações no Pastebin e deixam comentários que promovem esta alegada falha, incluindo um endereço para um site externo. Estes comentários apresentam-se como documentação confidencial que permite ganhar cerca de 13 mil dólares em apenas dois dias.
Ao clicar na ligação, a vítima é reencaminhada para um documento do Google Docs. Este ficheiro falso explica um método para obter pagamentos 38% superiores ao normal, alegando que a plataforma ChangeNOW ainda utiliza um nó antigo ligado à interface do Swapzone para certos pares de conversão. O documento cria um sentido de urgência e credibilidade, mostrando frequentemente vários visualizadores ativos em simultâneo para dar a sensação de que a informação está a circular ativamente.
Como o JavaScript manipula o teu navegador
O golpe entra na sua fase crítica quando o documento instrui a vítima a aceder ao site Swapzone e a carregar manualmente um nó de Bitcoin. Para isso, os utilizadores são encaminhados para copiar um bloco de código JavaScript de uma página externa e colá-lo diretamente na barra de endereço do navegador, antecedido do comando "javascript:".
Ao pressionar a tecla de entrada, o código tira partido de uma funcionalidade do browser para executar scripts no contexto da página atual. Este código altamente ofuscado sobrepõe-se ao script legítimo da plataforma de troca, assumindo o controlo da interface. Durante o processo, os endereços de destino da transação gerados pela corretora são substituídos de forma invisível pelas carteiras dos criminosos. A vítima continua a ver uma interface que parece normal e até visualiza taxas de câmbio manipuladas para simular que o esquema está a funcionar, mas os fundos são enviados diretamente para os atacantes.
Uma evolução perigosa das ameaças informáticas
Esta campanha representa uma variante inovadora da técnica ClickFix. Tradicionalmente, este tipo de ataque foca-se em convencer as vítimas a executar comandos no sistema operativo, como scripts de PowerShell, para corrigir falsos erros e instalar software malicioso no computador.
Neste caso específico, a ameaça não ataca o sistema operativo, mas foca-se na execução direta no browser enquanto a vítima visita um serviço legítimo de câmbio de divisas digitais. É um dos primeiros casos conhecidos deste estilo desenhado especificamente para usar o navegador com o intuito de roubar ativos digitais. Como as transações na rede Bitcoin são irreversíveis, os utilizadores que caem neste engano não têm forma de recuperar o dinheiro perdido.
Nenhum comentário
Seja o primeiro!