$100K Returned — Malvertising Scam Foiled
Golpistas russos se passaram por um projeto de criptomoedas por meio de publicidade maliciosa e malware do tipo “stealer”. Detectamos a operação, restauramos o acesso às carteiras e devolvemos mais de US$ 100 mil. Os fundos recuperados excedentes foram doados à @_SEAL_Org. Abaixo: detalhamento, IOCs e lições aprendidas.

Visão geral
Um projeto de criptomoeda foi vítima de um ataque de engenharia social disfarçado de parceria publicitária legítima. O PhishDestroy restaurou o acesso à carteira e recuperou mais de US$ 100.000 em fundos comprometidos e, em seguida, redirecionou a recompensa oferecida para uma organização externa a fim de manter a independência.
O que você precisa saber
- A carteira já havia sido invadida; os fundos já haviam sido transferidos.
- O acesso foi restabelecido e $100K+ foi impedido de permanecer com o agressor.
- O projeto ofereceu uma recompensa, que foi recusada e redirecionada para @_SEAL_Org em vez disso.
- Este trabalho é realizado de forma independente, como iniciativa própria, e não como emprego remunerado.
Como funcionava o golpe
- A vítima recebeu uma proposta de parceria/publicidade para um jogo de criptomoedas.
- O ataque parecia convincente: site profissional, presença consolidada no X (Twitter), videochamadas que pareciam legítimas.
- Durante as ligações, os invasores solicitavam a instalação de um “visualizador do local de trabalho” para acessar os materiais.
- O “visualizador” era malware ladrão.
- Os invasores retiraram fundos, trocaram tokens entre cadeias e transferiram ativos para suas próprias carteiras.
Medidas de resposta adotadas
- Confirmou-se a invasão e interrompeu-se qualquer movimento posterior.
- Restabelecemos o acesso à carteira para o proprietário legítimo.
- O controle da carteira receptora do invasor foi protegido e repassado à equipe da vítima.
- Medidas de acompanhamento coordenadas para reduzir o risco residual.
Reforço de segurança pós-incidente
Segurança do dispositivo
- Orientação passo a passo para lidar com dispositivos infectados com segurança
- Isolamento de rede, revogação de sessões, rotação de credenciais/chaves, plano de reconstrução completa
Configuração operacional
- Estação de trabalho nova e organizada, dedicada às operações com carteiras
- Sistema operacional recém-instalado, downloads exclusivos do fabricante, carteira de hardware, número mínimo de extensões, perfil separado no navegador, autenticação de dois fatores (2FA)
Preparação para a área forense
- Orientações sobre instantâneos de disco e coleta de logs do sistema e de aplicativos
- Preservação de provas para uma possível investigação judicial
Entendendo o conceito de “desvio”
Publicidade trata-se de uma forma de engenharia social no âmbito empresarial, na qual os criminosos imitam fluxos de trabalho normais (compras de anúncios, parcerias, relações públicas) para induzir a instalação de “clientes” maliciosos.
Sinais de alerta comuns:
- "Instale nosso gerenciador/auxiliar de anúncios para sincronizar os criativos"
- "Use nosso cliente personalizado do Zoom/Telegram para a chamada"
- "Acesse nosso kit de mídia/NDA por meio de um visualizador seguro"
A Recompensa e a Independência
- O projeto ofereceu uma recompensa porque o valor recuperado superou a perda inicial.
- PhishDestroy recusou-se a ficar com a recompensa.
- Todo o excedente foi destinado a @_SEAL_Org.
- Isso garante a independência — sem fontes de financiamento nem obrigações.
Princípios Fundamentais
- Apenas independência — sem orçamentos nem condições.
- Abordagem voltada para resultados, em vez de discussão.
- Oposição a quaisquer “clientes especiais” ou softwares não verificados.
- Divulgação seletiva que ajuda as vítimas, e não os autores das ameaças.
- Pressão direta sobre a infraestrutura do invasor.
Recomendações práticas
Para projetos e equipes
- Nunca instale visualizadores, clientes ou programas de atualização de aplicativos de trabalho provenientes de terceiros não verificados.
- Baixe o Zoom e o Telegram apenas nos sites oficiais dos fornecedores.
- Evite links patrocinados relacionados a carteiras, pontes e airdrops.
- Dê preferência a carteiras de hardware com armazenamento offline da semente.
- Em caso de violação: revogue as sessões, transfira os fundos, faça a rotação das chaves, reemita os segredos e procure ajuda imediatamente.
Pela Comunidade
- Denuncie atividades suspeitas por meio de nosso bot do Telegram.
- Acesse orientações e recursos essenciais sobre medidas a serem tomadas em phishdestroy.io/ação-crítica.
Conclusão
Apesar de os fundos já terem sido transferidos, PhishDestroy acesso restabelecido e garantiu que o invasor não pudesse ficar com os ativos roubados. Ao recusar a recompensa e destinar os fundos excedentes a outras finalidades, a organização mantém seu modelo operacional independente e sem remuneração, focado na resposta rápida e eficaz a incidentes.



