Os golpistas de criptografia usam malware falso do Zoom para roubar fundos

Um novo malware criptográfico tem como alvo os usuários da plataforma de videoconferência baseada em nuvem Zoom. O malware redireciona os usuários para um site malicioso para roubar seus ativos criptográficos.

Detectado pelo engenheiro de segurança cibernética “NFT_Dreww” em 22 de julho, o site malicioso imita de perto o link original da videochamada Zoom.

Começa com engenharia social

O ataque começa inicialmente com o golpista se aproximando da vítima e tentando induzi-la a participar de uma videochamada. NFT_Dreww diz que as táticas comuns envolvem o invasor oferecer oportunidades de investimento anjo ou pedir à vítima para participar como convidado em X espaços.

Os perfis X dos golpistas são projetados para fazê-los parecer participantes comuns do mercado de criptografia. Para parecerem legítimos, eles muitas vezes adornamfotos de perfil NFT e afirmam estar relacionados a vários projetos.

O golpe opera criando URLs falsos do Zoom, como *.us50web[.]us, que se parecem com URLs legítimos, como usXXweb.zoom[.]us. Eles incluem IDs de reuniões e senhas reais em URLs falsos para que pareçam autênticos.

NFT_Dreww enfatizou que o “-” no URL faz parte do domínio de nível superior, não de um subdomínio, o que engana muitos usuários.

Diferença entre domínio Zoom original e domínio malicioso. Fonte: NFT_Dreww em X

Se um usuário concordar em participar, os invasores insistem em usar apenas o Zoom, alegando que sua equipe já está de plantão.

Como funciona

Depois que o link é clicado, o usuário é redirecionado para uma página Zoom maliciosa, mas de aparência idêntica, com uma tela de carregamento que parece travada.

Lá, é acionado um download de um arquivo chamado “ZoomInstallerFull.exe” e o usuário é solicitado a instalar o arquivo. O processo de instalação parece genuíno, mostrando até mesmo uma página de termos e condições.

Quando instalado, o usuário é enviado de volta à tela de carregamento maliciosa, que então redireciona os usuários para um URL legítimo do Zoom. Entretanto, o malware já foi instalado no sistema da vítima.

Inicialmente, o malware é adicionado à “lista de exclusão do Windows Defender”, o que impede que o software de segurança o bloqueie. Posteriormente, extrai informações do usuário do sistema. Todo o processo é executado enquanto o usuário fica preso na falsa página de carregamento do Zoom.

De acordo com o especialista em segurança, o golpe já drenou mais de US$ 300 mil em fundos de vários usuários. Ele pediu aos usuários que tenham cuidado ao clicar em links recebidos nas redes sociais e evitem baixar qualquer software.

Os golpes de engenharia social tornam-se mais sofisticados à medida que o setor criptográfico continua a se desenvolver. Em 2 de julho, golpistas invadiram o endereço de e-mail oficial da Fundação Ethereum e enviaram e-mails de phishing para mais de 35 mil usuários.

Golpes desse tipo resultaram em mais de US$ 300 milhões em ativos de criptomoeda roubados de cadeias EVM somente no primeiro semestre de 2024.