Hackers visam carteiras de criptomoedas e dados de navegador em campanha de pop-up falso reCAPTCHA

Alerta vermelho no espaço cripto: campanha de phishing sofisticada usa pop-ups falsos de reCAPTCHA para comprometer ativos digitais.

Como a armadilha funciona

Os criminosos criaram páginas de login fraudulentas que disparam verificações reCAPTCHA manipuladas - tudo para fazer você baixar extensões de navegador maliciosas. Uma vez instaladas, essas extensões esvaziam carteiras digitais e roubam dados sensíveis do navegador.

O golpe do falso segurança

Usar o selo de confiança do reCAPTCHA como isca mostra a evolução das táticas dos hackers. Eles contam com a familiaridade dos usuários com essas verificações para baixar a guarda - genialmente diabólico.

Proteção no mundo descentralizado

Enquanto os reguladores se preocupam com stablecoins, hackers reais continuam drenando carteiras de investidores desprevenidos. A ironia é deliciosamente dolorosa: estamos construindo o futuro das finanças, mas ainda caímos em pop-ups como em 2005.

A campanha ClickFix usa o reCAPTCHA para inserir malware.

Segundo pesquisa da eSentire publicada na última quinta-feira, hackers estão atraindo vítimas usando sites falsos e pop-ups que se parecem com "verificações de segurança", incluindo caixas de verificação reCAPTCHA fraudulentas e páginas falsificadas do Cloudflare Turnstile.

As interfaces enganosas induzem os usuários a "corrigir" um suposto problema, com as instruções levando-os a executar comandos maliciosos sem perceber os riscos. Após a execução do comando inicial, o Amatera Stealer é instalado primeiro, seguido pela instalação do NetSupport Manager, que permite aos hackers monitorar e controlar a máquina comprometida como se estivessem fisicamente presentes.

O Amatera Stealer não é uma ameaça totalmente nova, mas sim a evolução mais recente do ACR Stealer, também conhecido como AcridRain. A versão anterior surgiu inicialmente como um produto de malware como serviço em fóruns de hackers em 2024, sendo distribuída por diversos usuários através de pacotes de assinatura.

As vendas do ACR foram suspensas em meados de 2024, quando seu desenvolvedor, conhecido online como SheldIO, vendeu o código-fonte do malware. Apesar do anúncio da venda, o grupo afirmou que isso “não significava o fim” do desenvolvimento. Pesquisadores agora acreditam que o Amatera é o sucessor direto do ACR, reconstruído com mais recursos e novas técnicas de evasão.

A Amatera, descoberta pela empresa de auditoria de segurança Proofpoint em junho, está disponível por assinatura, com preços que variam de US$ 199 por mês a US$ 1.499 por ano.

“O Amatera oferece aos agentes de ameaças amplas capacidades de exfiltração de dados, visando carteiras de criptomoedas, navegadores, aplicativos de mensagens, clientes FTP e serviços de e-mail. Ele emprega estratégias avançadas de evasão, como as chamadas de sistema WoW64, para contornar os mecanismos de interceptação em modo de usuário utilizados por sandboxes, soluções antivírus e produtos EDR”, afirmou a eSentire.

O malware foi escrito em C++ e é capaz de coletar senhas salvas, dados de cartões, históricos de navegação e arquivos de navegadores como Chrome, Brave, Edge, Opera, Firefox e plataformas especializadas como Tor Browser e Thunderbird.

Carregadores do Windows PowerShell de múltiplos estágios ocultando malware

De acordo com a análise de ameaças da eSentire, o processo de infecção do Amatera é construído sobre várias camadas de comandos PowerShell ofuscados. 

Os pesquisadores da TRU observaram uma fase de descriptografia de payloads subsequentes usando um processo XOR na string “AMSI_RESULT_NOT_DETECTED”, um termo associado à Interface de Varredura Antimalware da Microsoft. O desenvolvedor do loader pode ter escolhido a frase intencionalmente para confundir os pesquisadores que realizam análises dinâmicas.

Embora o Amatera seja o payload mais comum distribuído nessas campanhas, a eSentire também documentou casos em que o mesmo loader foi usado para implantar outros infostealers, incluindo Lumma e Vidar. Algumas amostras não possuíam os parâmetros de configuração necessários para executar loaders de múltiplos estágios, e nesses casos os hackers optaram por implantar o NetSupport Manager diretamente.

A eSentire e outras empresas de segurança documentaram campanhas de e-mail que distribuíam arquivos de script Visual Basic disfarçados de faturas. Ao serem abertos, os arquivos executavam scripts em lote que iniciavam carregadores do PowerShell, distribuindo o XWorm.

Outras campanhas envolveram sites comprometidos que redirecionavam os visitantes para páginas falsas de verificação da Cloudflare, imitando as solicitações do ClickFix. Essa atividade foi associada a uma operação conhecida por nomes como SmartApeSG, HANEYMANEY e ZPHP, todas utilizando o NetSupport RAT como carga útil final.

Hackers criaram sites fraudulentos do Booking.com que hospedavam verificações CAPTCHA falsificadas, instruindo os usuários a abrir a caixa de diálogo Executar do Windows e executar um comando, e instalando diretamente um script de roubo dedentem sistemas infectados.

Algumas das campanhas de phishing associadas a essas distribuições de malware estão usando um novo kit de phishing conhecido como Cephas. De acordo com a empresa de soluções de cibersegurança Barracuda, o Cephas utiliza um método avançado de ofuscação que insere caracteres invisíveis no código-fonte das páginas de phishing, dificultando a detecção por scanners automatizados.

"O kit oculta seu código criando caracteres invisíveis aleatórios dentro do código-fonte, o que o ajuda a burlar os scanners anti-phishing e a impedir que as regras YARA baseadas em assinaturas correspondam aos métodos exatos de phishing", escreveu em sua análise na semana passada.

Quer que seu projeto seja apresentado às mentes mais brilhantes do mundo das criptomoedas? Apresente-o em nosso próximo relatório do setor, onde dados encontram impacto.