Arquivo com registros de transações esconde malware

bitcoinArquivo com dados e documentos sobre a casa de câmbio contém vírus que atinge tanto máquinas com Windows quanto Macs.

Um arquivo contendo os registros de transações do Mt. Gox e que foi liberado ao público na semana passada por crackers que comprometeram o blog do CEO da casa de câmbio virtual, Mark Karpeles, também continha um malware capaz de roubar Bitcoins. O vírus atingiu tanto máquinas com Windows quanto Macs.

Os pesquisadores de segurança da empresa de antivírus Kaspersky Lab analisaram o arquivo de 620 MB chamado “MtGox2014Leak.zip” e concluiram que, além de vários documentos e dados relacionados ao Mt. Gox, ele contém arquivos binários maliciosos.

Os arquivos se passavam por versões para Windows e Mac de uma aplicação back-office customizada para acessar o banco de dados de transações do Mt. Gox.

No entanto, eles são na verdade programas maliciosos projetados para pesquisar e roubar arquivos de carteiras vituais (wallets) de Bitcoins a partir de computadores, explicou o pesquisador de segurança da Kaspersky, Sergey Lozhkin.

Ambos os binários para Windows e Mac foram escritos em LiveCode, uma linguagem de programação para desenvolvimento de aplicações multiplataformas.

Quando executados, eles exibem uma interface gráfica para o que aparenta ser a ferramenta de acesso ao banco de dados do Mt. Gox. No entanto, em segundo plano, é iniciado um processo (TibanneSocket.exe no Windows) que procura por arquivos “bitcoin.conf” e “wallet.dat” no computador do usuário, de acordo com Lozhkin.

“O último é um arquivo de dado importantíssimo para um usuário de Bitcoin: se ele é mantido sem criptografia e roubado, os cibercriminosos conseguem acesso a todo o dinheiro virtual que o usuário possui para uma conta específica”.

O malware, o qual foi nomeado pela Kaspersky de Trojan.Win32.CoinStealer.i (versão Windows) e Trojan.OSX.Coinstealer.a (versão Mac), envia os arquivos da wallet de Bitcoins roubada para um servidor remoto que estava localizado na Bulgária, mas agora encontra-se offline.

“Parece que todo o vazamento foi inventado para infectar os computadores dos usuários com o malware e se aproveitar do interesse das pessoas no Mt. Gox”, disse Lozhkin.

“Os criadores do malware geralmente usam truques de engenharia social e tópicos de discussões ativas para espalhar o malware e esse é um grande exemplo de um ataque com foco em uma audiência específica”, disse.

Os usuários que fizeram o download do arquivo e executaram qualquer arquivo binário devem verificar os seus computadores com algum programa antimalware e devem tomar providências imediatamente, a fim de proteger seus bitcoins.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Comentários encerrados.

%d blogueiros gostam disto: