Usuários de cripto enfrentaram um aumento em ataques “psicologicamente manipulativos” no segundo trimestre, à medida que hackers criaram formas mais avançadas e criativas de tentar roubar criptoativos, segundo a empresa de segurança blockchain SlowMist.
Lisa, chefe de operações da SlowMist, disse no relatório de análise de fundos roubados do MistTrack do segundo trimestre que, embora não tenha havido avanços nas técnicas de hacking, os golpes tornaram-se mais sofisticados, com aumento de extensões falsas de navegador, carteiras de hardware adulteradas e ataques de engenharia social.
“Observando o segundo trimestre, uma tendência se destaca: os métodos dos atacantes podem não estar se tornando tecnicamente mais avançados, mas estão ficando mais psicologicamente manipulativos.”
“Estamos vendo uma mudança clara dos ataques puramente on-chain para pontos de entrada off-chain — extensões de navegador, contas de redes sociais, fluxos de autenticação e comportamento dos usuários estão se tornando superfícies comuns de ataque,” disse Lisa.
Extensões maliciosas de navegador fingem ser plugins de segurança
Ironicamente, um vetor de ataque emergente envolvia extensões de navegador disfarçadas de plugins de segurança, como a extensão “Osiris” para Chrome, que alegava detectar links de phishing e sites suspeitos.
Em vez disso, a extensão interceptava todos os downloads de arquivos .exe, .dmg e .zip, substituindo esses arquivos por programas maliciosos.
“Ainda mais insidiosamente, os atacantes orientavam os usuários a visitar sites bem conhecidos e comumente utilizados, como Notion ou Zoom,” disse Lisa.
“Quando o usuário tentava baixar software desses sites oficiais, os arquivos entregues já haviam sido maliciosamente substituídos — e ainda assim o navegador mostrava o download como proveniente da fonte legítima, tornando quase impossível para os usuários detectarem algo suspeito.”
Esses programas então coletavam informações sensíveis do computador do usuário, incluindo dados do navegador Chrome e credenciais do Keychain do macOS, dando ao atacante acesso a frases-semente, chaves privadas ou credenciais de login.
Ataques exploram ansiedade dos usuários de cripto
A SlowMist afirmou que outro método de ataque focava em enganar investidores de cripto para adotarem carteiras de hardware adulteradas.
Em alguns casos, hackers enviavam aos usuários uma carteira fria comprometida, dizendo às vítimas que haviam ganhado um dispositivo gratuito em um “sorteio” ou alegando que o dispositivo atual estava comprometido e que precisavam transferir seus ativos.
No segundo trimestre, uma vítima teria perdido US$ 6,5 milhões ao comprar uma carteira fria adulterada que viu no TikTok, segundo Lisa.
Outro atacante vendeu a uma vítima uma carteira de hardware já previamente ativada, permitindo que ele drenasse os fundos imediatamente assim que os novos usuários transferissem cripto para armazenamento.
Engenharia social com site falso de revogação
A SlowMist disse que também foi contatada no segundo trimestre por um usuário que não conseguia revogar uma “autorização arriscada” em sua carteira.
Após investigação, a SlowMist afirmou que o site que o usuário estava tentando usar para revogar a permissão do contrato inteligente era “uma cópia quase perfeita da interface do Revoke Cash,” que pedia aos usuários que inserissem sua chave privada para “verificar assinaturas arriscadas.”
“Após analisar o código do front-end, confirmamos que esse site de phishing usava o EmailJS para enviar as informações inseridas pelos usuários — incluindo chaves privadas e endereços — para a caixa de entrada de e-mail do atacante.”
“Esses ataques de engenharia social não são tecnicamente sofisticados, mas são excelentes em explorar urgência e confiança,” disse Lisa.
“Os atacantes sabem que frases como ‘assinatura arriscada detectada’ podem gerar pânico, levando os usuários a tomar ações precipitadas. Uma vez que esse estado emocional é desencadeado, é muito mais fácil manipulá-los a fazer coisas que normalmente não fariam — como clicar em links ou compartilhar informações sensíveis.”
Ataques exploram atualização Pectra e contatos do WeChat
Outros ataques incluíram técnicas de phishing que exploraram a EIP-7702, introduzida na mais recente atualização Pectra da Ethereum, enquanto outro ataque mirou diversos usuários do WeChat ao assumir o controle de suas contas.
A Cointelegraph Magazine relatou recentemente que os atacantes utilizaram o sistema de recuperação de contas do WeChat para assumir o controle de contas, se passando pelo proprietário real para enganar seus contatos com Tether (USDT) com “desconto”.
Os dados do segundo trimestre da SlowMist foram extraídos de 429 relatórios de fundos roubados enviados à empresa durante o trimestre.
A empresa afirmou que congelou e recuperou cerca de US$ 12 milhões de 11 vítimas que relataram roubo de cripto no segundo trimestre.
