Investigação da empresa de soluções de cibersegurança, Check Point, identificou uma nova variante do botnet Phorpiex, que é uma ameaça conhecida pelos ataques de sextortion e crypto-jacking, uma técnica cibercriminosa em que o atacante utiliza os recursos das vítimas para gerar criptomoeda.
A nova variante, Twizt, opera sem servidores C&C ativos, ou seja: cada computador infetado pode contribuir para a disseminação do botnet. Os investigadores estimam que o Twizt tenha roubado quase meio milhão de dólares em criptomoeda. Novas funcionalidades da variante fazem os investigadores da Check Point acreditar que o botnet pode tornar-se ainda mais estável e, por isso, mais perigoso.
Como funciona o Twitz
O Twitz faz uso de uma técnica chamada “crypto clipping”, isto é, o roubo de criptomoeda durante as transações através da utilização de um malware que substitui automaticamente o endereço de wallet intencionado pelo endereço de wallet do agente malicioso. Como resultado, os fundos transacionados vão parar às mãos erradas.
![Vítimas por país](https://www.tveuropa.pt/cnt/uploads/F21DV240.jpg)
Vítimas do Twizt
No período de um ano, entre novembro de 2020 e novembro de 2021, os bots do Phorpiex roubaram 969 transações, roubando 3.64 Bitcoin, 55.87 Ether, e 55,000 dollars em tokens ERC20. O valor dos ativos roubados a preços correntes corresponde a quase meio milhão de dólares americanos. O Phorpiex conseguiu apoderar-se várias vezes de transações de grandes montantes. A maior quantia de uma transação de Etherium já intercetada foi de 26 ETH.
Alexander Chailytko, Cyber Security Research & Innovation Manager da Check Point Software, referiu: “Há três grandes riscos envolvidos com a nova variante do Phorpiex.
■ Primeiro, o Twizt utiliza o modelo peer-to-peer e consegue receber comandos e atualizações de milhares de outras máquinas infetadas. Um botnet peer-to-peer é mais difícil de derrubar. Isto faz com que o Twizt seja mais estável que versões anteriores de bots Phorpiex.
■ Em segundo lugar, tal como versões anteriores do Phorpiex, o Twizt consegue roubar critpomoeda sem qualquer comunicação C&C, portanto, é mais fácil escapar dos mecanismos de segurança, como as firewalls.
■ Terceiramente, o Twitz corre mais de 30 cripto wallets diferentes de blockchains diferentes, incluindo as principais, como Bitcoin, Ethereum, Dash, Monero. Isto faz com que a superfície de ataque seja enorme, e que basicamente qualquer pessoa que esteja a utilizar cripto possa ser afetada.
Recomendo vivamente todos os utilizadores de criptomoeda a verificarem duas vezes os endereços de wallet que copiam e colam, pois pode muito bem estar a enviar inadvertidamente o seu crypto para as mãos erradas.”
Os investigadores da Check Point aconselham:
■ Verifique o endereço da wallet. Quando os utilizadores copiam e colam um endereço de cripto wallet, verifique sempre se os endereços originais e os colados correspondem.
■ Transações de teste. Antes de enviar grandes quantias de criptomoeda, envie primeiro uma transação de “teste” com uma quantia mínima.
■ Sistemas operativos atualizados. Mantenha o sistema operativo atualizado. Não faça download de atualizações de software de fontes não verificadas.
■ Salte os anúncios. Se procura wallets ou plataformas de trading de criptomoeda, procure primeiro pelos websites que aparecem como resultados da sua pesquisa, evitando os anúncios. A CPR tem registos de hackers que utilizam o Google Ads para roubar cripto wallets.
■ Tenha atenção aos URLs. Verifique sempre os endereços dos websites a que acede.