A Check Point alertou para um esquema recente de ataque que utiliza o Google Ads para roubar crypto wallets. No passado fim-de-semana, alertam os investigadores, foram roubados milhares de dólares em criptomoeda. Os hackers colocam anúncios maliciosos no topo dos resultados de pesquisa e os utilizadores são direcionados para websites falsos que imitam marcas populares de crypto wallets, como o Phantom e o MetaMask.
O objetivo é roubar frases-chave e chaves privadas.
Como funciona o esquema
- Hacker coloca um Google Ad relacionado com crypto wallets que aparece primeiro nos resultados de pesquisa
- Vítima clica no link malicioso do anúncio da Google
- Vítima é direcionada para o website de phishing que se parece com o endereço original de crypto wallets
- O website falso tenta roubar a frase-chave, caso o utilizador tenha já uma wallet; ou fornecerá uma nova frase-chave para a wallet recém-criada
- De qualquer das duas formas, o hacker adquire acesso à wallet da vítima, podendo roubar toda a criptomoeda
Como se parece o esquema
Para o domínio “phantom.app”, a equipa da CPR encontrou variantes de phishing como phanton.app ou phantonn.app, ou mesmo com extensões diferentes, como “.pw”, entre outras.
Como descrito acima, cada um dos anúncios maliciosos direciona o utilizador para um website de phishing.
Vítimas detetadas
A equipa de investigação da Check Point Software Technologies identificou 11 contas comprometidas, cada uma delas contendo entre mil e 10 mil dólares. A CPR descobriu mais tarde que os hackers levantaram parte dos fundos ainda antes da exposição do esquema. Cruzando a informação de fóruns de Reddit onde as vítimas denunciaram o roubo, a CPR estima que tenham sido roubados mais de 500 mil dólares durante o passado fim-de-semana.
Segundo, Oded Vanunu, Head of Products Vulnerabilities Research na Check Point, “Numa questão de dias, assistimos ao roubo de centenas de milhares de dólares em criptomoeda. Só no passado fim-de-semana, estimamos que tenham sido roubados mais de 500 mil dólares em criptomoeda. Acredito que estamos na presença de uma nova tendência do cibercrime, em que os hackers utilizarão o Google Search como principal vetor de ataque para chegar às crypto wallets, em vez do tradicional phishing pelo e-mail. Na nossa observação, cada anúncio tinha uma seleção muito específica de mensagens e keywords, a fim de se destacar nos resultados de pesquisa. Os sites de phishing para onde as vítimas são direcionadas eram a cópia meticulosa dos típicos websites de marcas de wallets digitais. E o que é mais alarmante é que vários grupos de hackers estão a licitar palavras-chave do GoogleAds, o que é provavelmente um indicador de que estas novas campanhas de phishing são um sucesso. Infelizmente, o cenário mais esperado é que isto se torne uma tendência em rápido crescimento no cibercrime. Recomendo fortemente a comunidade da criptomoeda a verificar duas vezes os URLs em que clicam e a evitar clicar nos Google Ads relacionados com esta temática”.
Dicas para se manter protegido
- Examine os URL do browser. Apenas a extensão deve criar a frase-chave, e para perceber se está perante uma extensão ou website deve averiguar sempre o URL do browser.
- Procure pelo ícone da extensão. A extensão contém um ícone e um URL específico do Chrome, como se vê abaixo.
- Nunca partilhe a sua frase-chave. Tal como os utilizadores não devem nunca partilhar a sua frase-chave, não é suposto esta informação ser pedida. Só será utilizada de novo caso se instale uma nova wallet
- Passe à frente os anúncios. Se estiver à procura de wallets ou de plataformas de negociação e troca de criptomoeda, olhe sempre para o primeiro website da sua pesquisa e não para o anúncio.
- Verifique o URL. Confira sempre duas vezes os URLs.
Sem Comentários! Seja o Primeiro.