Novo Trojan de brincadeira na Rússia, fuga de dados da Comissão Europeia e outros eventos de cibersegurança - ForkLog: criptomoedas, IA, singularidade, futuro

# Novo trojan de prank na Rússia, fuga de dados da Comissão Europeia e outros acontecimentos de cibersegurança

Reunimos as notícias mais importantes do mundo da cibersegurança durante a semana.

• Vigiava, trocava endereços cripto e gozava com as vítimas: na Rússia foi detetado um trojan de prank.
• Endereços de servidores do software para roubo de criptomoedas foram detetados no Spotify e no Chess.com.
• Foi apresentada uma acusação ao hacker por roubar $53 milhões de uma bolsa cripto Uranium.
• Os especialistas detetaram uma versão atualizada do stealer de frases-semente para Apple e Android.

Vigiava, trocava endereços cripto e gozava com as vítimas: na Rússia foi detetado um trojan de prank

Os especialistas da «Laboratório Kaspersky» identificaram na Rússia uma campanha ativa de disseminação de um novo trojan. A CrystalX é promovida através de um modelo CaaS com publicidade em redes sociais como Telegram e YouTube.

O software funciona como spyware e stealer em simultâneo, permitindo executar as seguintes ações:

• roubar credenciais dos browsers e, além disso, das contas na Steam, Discord e Telegram;
• substituir de forma discreta os endereços das carteiras cripto na área de transferência;
• registar de modo oculto áudio e vídeo do ecrã e das câmaras Web.

Uma característica distintiva do malware foram as zombarias ao utilizador em tempo real. Para isso, o painel contém uma secção separada Rofl com os respetivos comandos:

• carregar uma imagem a partir do URL indicado e defini-la como fundo do ambiente de trabalho;
• alterar a orientação do ecrã para 90°, 180° ou 270°;
• desligar o sistema operativo com a utilidade shutdown.exe;
• substituir as funções do botão esquerdo do rato pelo direito e vice-versa;
• desligar o monitor e bloquear a introdução de dados;
• fazer o cursor tremer em intervalos curtos;
• ocultar todos os ícones dos ficheiros no ambiente de trabalho, desativar a barra de tarefas, o gestor de tarefas e o cmd.exe.

Além disso, o atacante pode enviar uma mensagem à vítima, após o que, no sistema, é aberta uma janela de diálogo para uma troca de mensagens bilateral.

Fonte: «Laboratório Kaspersky». Como observou o especialista sénior da Kaspersky GReAT, Leonid Bezsvershenko, num comentário ao «Código de Durov», o vírus evolui ativamente e é suportado pelos seus criadores. Ele prevê um aumento no número de vítimas com a expansão da área geográfica dos ataques.

Os especialistas recomendam carregar aplicações apenas a partir de lojas oficiais, instalar um antivírus fiável e também ativar no Windows a visualização das extensões para, por acaso, não executar ficheiros perigosos dos formatos .EXE, .VBS e .SCR.

Foram detetados endereços de servidores do software para roubo de criptomoedas no Spotify e no Chess.com

Investigadores da Solar 4RAYS notaram que os hackers ocultam os endereços dos servidores de controlo do stealer MaskGram nos perfis do Spotify e do Chess.com

O MaskGram tem como objetivo roubar contas e criptomoedas e também possui a capacidade de carregar módulos adicionais.

O malware recolhe dados sobre o sistema, a lista de processos e as aplicações instaladas e faz capturas de ecrã. Obtém informações de browsers Chromium, carteiras cripto, clientes de correio, mensageiros e aplicações VPN.

Os atacantes distribuem o software através de engenharia social: fazem-se passar por versões pirateadas de programas pagos para uma verificação em massa de inícios de sessão e palavras-passe provenientes de bases de dados vazadas como Netflix Hunter Combo Tool, Steam Combo Extractor e Deezer Checker.

Segundo os especialistas, o software utiliza a técnica do «dead drop» ou Dead Drop Resolver (DDR), que permite armazenar a informação do servidor de controlo em páginas de serviços públicos e alterá-la rapidamente.

O computador infetado não se liga a um IP suspeito, mas sim ao Spotify ou ao Chess.com, apresentando uma atividade de utilizador normal.

Campo about no perfil de utilizador do Chess.com. Fonte: Solar 4RAYS. Para cada plataforma, utiliza-se um conjunto próprio de marcadores. Por exemplo, no caso do Chess.com — o campo about no perfil do utilizador. A cadeia extraída passa por decodificação e transforma-se num domínio do servidor.

Em março, especialistas da Aikido detetaram a utilização da técnica do «dead drop» pelo stealer GlassWorm em cripto-transações na blockchain Solana.

Foi apresentada uma acusação ao hacker por roubar $53 milhões de uma bolsa cripto Uranium

O Ministério Público dos EUA apresentou acusações contra Jonathan Spallette por roubar mais de $53 milhões da bolsa cripto Uranium Finance e por lavagem de dinheiro.

Em abril de 2021, Spallette (também conhecido pelo pseudónimo Cthulhon) invadiu uma bolsa descentralizada (DEX) Uranium baseada na BNB Chain. Como resultado, a falta de fundos obrigou a empresa a encerrar.

Em fevereiro de 2025, durante uma busca, as autoridades policiais apreenderam bens valiosos da casa do suspeito e também recuperaram o acesso a criptoativos no valor de cerca de $31 milhões.

De acordo com as autoridades, Spallette lavava os ativos roubados através da DEX e do misturador Tornado Cash. O dinheiro obtido era gasto em itens de coleção:

• um cartão Magic: The Gathering «Black Lotus» — ~$500 000;
• 18 boosters selados de Alpha Edition Magic: The Gathering — ~$1,5 млн;
• um conjunto base completo de Pokémon da primeira edição — ~$750 000;
• uma moeda da Roma Antiga cunhada em honra do assassínio de Júlio César — mais de $601 000.

Spallette enfrenta até 10 anos de prisão por acusações de fraude informática e até 20 anos, caso seja considerado culpado por lavagem de dinheiro.

Os especialistas detetaram uma frase-semente de stealer atualizada para Apple e Android

Investigadores do «Laboratório Kaspersky» detetaram uma nova versão de software malicioso SparkCat para roubo de criptomoedas na Apple App Store e na Google Play Store. Tal como reporta o The Hacker News.

O stealer disfarça-se de aplicações aparentemente inofensivas como mensageiros corporativos e serviços de entrega de comida. Em segundo plano, ele escaneia as galerias de fotografias das vítimas à procura de frases-semente de carteiras cripto.

Os especialistas analisaram duas aplicações infetadas na App Store e uma no Google Play. São direcionadas sobretudo a utilizadores de criptomoedas na Ásia:

• Variante iOS. Escaneia frases mnemónicas de carteiras cripto em inglês. Esta abordagem torna a versão para iOS potencialmente mais perigosa em escala global, pois pode afetar utilizadores independentemente da sua região;
• Variante Android. Na versão atualizada, surgiram vários níveis de ofuscação do código em comparação com os anteriores. O software utiliza virtualização de código e linguagens de programação multiplataforma para contornar a análise. Além disso, procura palavras-chave em japonês, coreano e chinês, o que confirma o foco na região asiática.

Os especialistas acreditam que a operação envolveu um operador de língua chinesa ou russa. De acordo com os dados mais recentes, a ameaça está a evoluir ativamente e as pessoas por detrás dela têm elevadas competências técnicas.

A Comissão Europeia confirmou a fuga na sequência do ciberataque ShinyHunters

A Comissão Europeia (CE) confirmou o facto da fuga de dados na sequência de um ciberataque à plataforma web Europa.eu, pela qual os extorsionistas da ShinyHunters assumiram a responsabilidade.

Na CE foi declarado que o incidente não afetou o funcionamento do portal e que foi possível contê-lo.

Embora a Comissão não tenha fornecido detalhes, os atacantes disseram ao BleepingComputer que conseguiram roubar mais de 350 GB de informação, incluindo várias bases de dados. Não revelaram o método para invadir contas da AWS, mas forneceram capturas de ecrã que confirmam o acesso às contas de alguns funcionários da CE.

O grupo também publicou uma publicação no seu site de fugas na dark web, afirmando que foram roubados mais de 90 GB de ficheiros:

• dumps de servidores de correio;
• bases de dados;
• documentos e contratos confidenciais;
• outros materiais sensíveis.

Fonte: BleepingComputer Também no ForkLog:

• O projeto Solana Drift Protocol perdeu $280 milhões.
• A CertiK alertou para os riscos de roubo de criptomoedas através do OpenClaw.

O que ler ao fim de semana?

Depois de analisar os dados das equipas de investigação, os relatórios das empresas e a situação atual, o ForkLog percebeu como as tecnologias de interfaces «cérebro — computador» estão a evoluir.