Ir direto para o conteúdo principal
100 mil retornos — Análise de malvertising
Investigação • 5 a 7 minutos de leitura

$100K Returned — Malvertising Scam Foiled

Golpistas russos se passaram por um projeto de criptomoedas por meio de publicidade maliciosa e malware do tipo “stealer”. Detectamos a operação, restauramos o acesso às carteiras e devolvemos mais de US$ 100 mil. Os fundos recuperados excedentes foram doados à @_SEAL_Org. Abaixo: detalhamento, IOCs e lições aprendidas.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
Publicado originalmente em Médio — PhishDestroy

Visão geral

Um projeto de criptomoeda foi vítima de um ataque de engenharia social disfarçado de parceria publicitária legítima. O PhishDestroy restaurou o acesso à carteira e recuperou mais de US$ 100.000 em fundos comprometidos e, em seguida, redirecionou a recompensa oferecida para uma organização externa a fim de manter a independência.

O que você precisa saber

  • A carteira já havia sido invadida; os fundos já haviam sido transferidos.
  • O acesso foi restabelecido e $100K+ foi impedido de permanecer com o agressor.
  • O projeto ofereceu uma recompensa, que foi recusada e redirecionada para @_SEAL_Org em vez disso.
  • Este trabalho é realizado de forma independente, como iniciativa própria, e não como emprego remunerado.

Como funcionava o golpe

  • A vítima recebeu uma proposta de parceria/publicidade para um jogo de criptomoedas.
  • O ataque parecia convincente: site profissional, presença consolidada no X (Twitter), videochamadas que pareciam legítimas.
  • Durante as ligações, os invasores solicitavam a instalação de um “visualizador do local de trabalho” para acessar os materiais.
  • O “visualizador” era malware ladrão.
  • Os invasores retiraram fundos, trocaram tokens entre cadeias e transferiram ativos para suas próprias carteiras.

Medidas de resposta adotadas

  1. Confirmou-se a invasão e interrompeu-se qualquer movimento posterior.
  2. Restabelecemos o acesso à carteira para o proprietário legítimo.
  3. O controle da carteira receptora do invasor foi protegido e repassado à equipe da vítima.
  4. Medidas de acompanhamento coordenadas para reduzir o risco residual.
Resultado: Acesso restabelecido, controle recuperado, invasor bloqueado.

Reforço de segurança pós-incidente

Segurança do dispositivo

  • Orientação passo a passo para lidar com dispositivos infectados com segurança
  • Isolamento de rede, revogação de sessões, rotação de credenciais/chaves, plano de reconstrução completa

Configuração operacional

  • Estação de trabalho nova e organizada, dedicada às operações com carteiras
  • Sistema operacional recém-instalado, downloads exclusivos do fabricante, carteira de hardware, número mínimo de extensões, perfil separado no navegador, autenticação de dois fatores (2FA)

Preparação para a área forense

  • Orientações sobre instantâneos de disco e coleta de logs do sistema e de aplicativos
  • Preservação de provas para uma possível investigação judicial

Entendendo o conceito de “desvio”

Publicidade trata-se de uma forma de engenharia social no âmbito empresarial, na qual os criminosos imitam fluxos de trabalho normais (compras de anúncios, parcerias, relações públicas) para induzir a instalação de “clientes” maliciosos.

Sinais de alerta comuns:

  • "Instale nosso gerenciador/auxiliar de anúncios para sincronizar os criativos"
  • "Use nosso cliente personalizado do Zoom/Telegram para a chamada"
  • "Acesse nosso kit de mídia/NDA por meio de um visualizador seguro"
Regra fundamental: Se um fluxo de trabalho proveniente de fontes desconhecidas exigir um cliente/visualizador/programa de atualização específico, presuma que se trata de uma ameaça por padrão. Utilize apenas downloads oficiais dos fornecedores.

A Recompensa e a Independência

  • O projeto ofereceu uma recompensa porque o valor recuperado superou a perda inicial.
  • PhishDestroy recusou-se a ficar com a recompensa.
  • Todo o excedente foi destinado a @_SEAL_Org.
  • Isso garante a independência — sem fontes de financiamento nem obrigações.

Princípios Fundamentais

  • Apenas independência — sem orçamentos nem condições.
  • Abordagem voltada para resultados, em vez de discussão.
  • Oposição a quaisquer “clientes especiais” ou softwares não verificados.
  • Divulgação seletiva que ajuda as vítimas, e não os autores das ameaças.
  • Pressão direta sobre a infraestrutura do invasor.

Recomendações práticas

Para projetos e equipes

  • Nunca instale visualizadores, clientes ou programas de atualização de aplicativos de trabalho provenientes de terceiros não verificados.
  • Baixe o Zoom e o Telegram apenas nos sites oficiais dos fornecedores.
  • Evite links patrocinados relacionados a carteiras, pontes e airdrops.
  • Dê preferência a carteiras de hardware com armazenamento offline da semente.
  • Em caso de violação: revogue as sessões, transfira os fundos, faça a rotação das chaves, reemita os segredos e procure ajuda imediatamente.

Pela Comunidade

Conclusão

Apesar de os fundos já terem sido transferidos, PhishDestroy acesso restabelecido e garantiu que o invasor não pudesse ficar com os ativos roubados. Ao recusar a recompensa e destinar os fundos excedentes a outras finalidades, a organização mantém seu modelo operacional independente e sem remuneração, focado na resposta rápida e eficaz a incidentes.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

Compartilhe esta investigação

X / Twitter Telegram Reddit LinkedIn

Investigações relacionadas

Anatomia do phishing de criptomoedas: análise de 8 programas reais de roubo de frases-semente
INVESTIGAÇÃO APROFUNDADA
Anatomia do phishing de criptomoedas: análise de 8 programas reais de roubo de frases-semente
$0 Takedowns: How We Disrupt Phishing Infrastructure
INVESTIGAÇÃO
$0 Takedowns: How We Disrupt Phishing Infrastructure
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end de golpes
INVESTIGAÇÃO
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end de golpes
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência completa →