Hackers norte-coreanos estão intensificando seus ataques contra a indústria de criptomoedas, utilizando métodos sofisticados para enganar suas vítimas. De acordo com um alerta recente do FBI, um novo malware de Android, chamado SpyAgent, é capaz de roubar chaves privadas armazenadas em capturas de tela e imagens nos dispositivos afetados.
Descoberto pela empresa de segurança cibernética McAfee, o SpyAgent funciona utilizando uma técnica conhecida como reconhecimento óptico de caracteres (OCR). Essa tecnologia permite que o malware extraia texto de imagens armazenadas no smartphone, incluindo as chaves privadas que podem ser encontradas em capturas de tela de carteiras digitais.
O malware é distribuído por meio de links maliciosos enviados em mensagens de texto. Ao clicar no link, o usuário é redirecionado para um site aparentemente legítimo e incentivado a baixar um aplicativo que se apresenta como confiável. No entanto, esse aplicativo é na verdade o SpyAgent, e sua instalação compromete a segurança do dispositivo.
Esses programas fraudulentos são disfarçados como aplicativos bancários, governamentais ou de streaming. Após a instalação, os usuários são solicitados a conceder ao aplicativo permissões para acessar contatos, mensagens e armazenamento local.
Até o momento, o SpyAgent tem sido principalmente direcionado a usuários sul-coreanos e foi detectado em mais de 280 aplicativos fraudulentos pelos especialistas da McAfee.
Ataques de malware em ascensão
Em agosto, um malware semelhante chamado “Cthulhu Stealer” foi identificado afetando sistemas MacOS. Assim como o SpyAgent, o Cthulhu Stealer se disfarça como um aplicativo legítimo e rouba informações pessoais do usuário, incluindo senhas da MetaMask, endereços IP e chaves privadas de carteiras frias.
No mesmo mês, a Microsoft descobriu uma vulnerabilidade no navegador web Google Chrome, que foi provavelmente explorada pelo grupo de hackers norte-coreano conhecido como Citrine Sleet. Esse grupo criou falsas exchanges de criptomoedas e usou esses sites para enviar aplicações de emprego fraudulentas para usuários desavisados. Qualquer usuário que seguisse o processo acabava instalando um malware controlado remotamente em seu sistema, o que levava ao roubo de suas chaves privadas.
Desde então, a vulnerabilidade do Chrome foi corrigida. No entanto, a frequência dos ataques de malware levou o FBI a emitir um alerta sobre o grupo de hackers norte-coreano.
