Relatório da Threat Intelligence da S21sec, empresa especializada em serviços de cibersegurança, indica ter sido detetado um malware denominado CryptoLove Loader, principalmente relacionado com o roubo de carteiras de criptomoedas.
A descoberta surgiu após uma monitorização contínua da campanha já detetada em janeiro por parte do grupo cibercriminoso CryptoLove, descreve a S21sec e em que realça a dificuldade de deteção deste malware, que permite também a execução de outros tipos de ameaças.
A S21sec descreve que cadeia de infeção do malware começa com uma mensagem relacionada com criptomoedas nas redes sociais. Os atacantes, identificados como CryptoLove Team, verificam se a vítima tem uma quantidade considerável de fundos numa das suas carteiras de criptomoedas e, de seguida, iniciam o esquema. O objetivo é aplicar técnicas para levar a vítima a visitar a sua página e fazer o download do launcher correspondente.
O ficheiro executável, que não é detetado por antivírus ou browsers, funciona como um Loader (ou bootloader), um componente muito importante no processo de arranque de um dispositivo, seja ele um computador, telemóvel ou qualquer equipamento eletrónico.
Na investigação, foi possível verificar que, através deste ataque, são ativados diferentes tipos de malware e distribuídos no computador da vítima com a intenção de roubar credenciais do browser ou da carteira de criptomoedas.
Esta é a primeira vez que uma campanha deste tipo é documentada, bem como o atacante por detrás dela, conhecido como CryptoLover_RON, cujo principal objetivo é roubar carteiras de criptomoedas através de esquemas que envolvem NFTs (Non-Fungible Token), ativos digitais encriptados.
A atribuição deste projeto tem vários perfis de administrador detetados na Dark Web, bem como noutras redes de mensagens utilizadas pelos cibercriminosos, como o Telegram. Este programa é de origem russa e o grupo que o executa está proibido de operar sob qualquer forma nos países da CEI (Comunidade de Estados Independentes).
O relatório publicado pela S21sec detalha toda a investigação descrevendo o tipo de táticas destes cibercriminosos, o comportamento do malware e até screenshots das descobertas e perfis do grupo criminoso detetado. O relatório providencia também o manual desenvolvido pelos membros da equipa CryptoLove, o funcionamento passo a passo do ataque e, no final, apresenta recomendações detalhadas para se proteger deste ataque. O está disponível no website da S21sec: Early Warning – CryptoLove – S21Sec.
O que fazer em situação de ataque?
A recomendação da S21Sec é de efetuar um exercício de Threat Hunting com análise forense. O exercício de Threat Hunting permitirá a deteção da ameaça através dos logs SIEM e da telemetria dos endpoints. Caso seja detetada atividade suspeita, pode realizar-se uma análise forense ou, em casos mais graves, uma resposta a incidentes.
A S21Sec indica fornecer serviços geridos de SOC e MEDR, que são a base para fornecer proteção contra incidentes como estes e que já possui uma equipa altamente especializada de resposta a Incidentes graves de segurança para situações de compromisso que requerem ação urgente.