A MistTrack revelou recentemente uma nova ameaça no espaço criptográfico que rouba fundos das carteiras dos utilizadores, na forma de uma exploração de sequestro encontrada dentro de um driver de impressora.
Num post recente, a divisão de cibersegurança da SlowMist alertou sobre uma ameaça relativamente nova, mas difícil de detectar, que está entrando no espaço cripto. Através de um driver de impressora instalado, um programa de backdoor malicioso é capaz de sequestrar a área de transferência dos utilizadores e substituir o endereço da carteira cripto copiado pelo do atacante.
“O driver oficial fornecido por esta impressora contém um programa de backdoor. Ele irá sequestrar o endereço da carteira na área de transferência do usuário e substituí-lo pelo endereço do atacante,” escreveu a plataforma de cibersegurança web3.
De acordo com dados on-chain da MistTrack, o atacante roubou pelo menos 9.3086 Bitcoin (BTC) de dezenas de endereços on-chain. Com base nos preços atuais, os fundos roubados totalizam quase 1 milhão de dólares ou cerca de 989.383 dólares.
O endereço da carteira de criptomoedas está ativo desde 22 de abril de 2016. Antes de suas atividades recentes, a última transação na cadeia detectada foi em 14 de março de 2024 e está ligada a múltiplas exchanges de criptomoedas.
Como funciona a exploração?
Casos de exploits de malware ocultos, como o destacado pelo MistTrack, ocorrem como resultado de atacantes que distribuem código malicioso através de programas que precisam ser instalados no hardware do utilizador, como um laptop, computador ou dispositivo móvel. Neste caso, o atacante inseriu o programa de backdoor através de um driver de impressora que parece legítimo.
Uma vez instalado, o driver monitoriza a área de transferência do utilizador— a área de armazenamento temporário onde os dados copiados são mantidos— em busca de endereços de carteiras de criptomoedas. Se o utilizador copiar o que parece ser um endereço de carteira de criptomoeda para enviar fundos, o malware substitui-o pelo endereço de carteira de criptomoeda do atacante.
Quando o utilizador cola o que acredita ser o endereço original da carteira de criptomoedas a partir da área de transferência e não consegue notar a alteração sequestrada, os fundos são enviados para a carteira do atacante em vez do destinatário pretendido.
Um exploit semelhante foi destacado pela CyberArk em março de 2025, que envolveu um malware chamado MassJacker. O malware permitiu que o atacante acessasse a área de transferência do usuário para alterar o endereço original da carteira de criptomoedas e redirecionar transações de criptomoedas para carteiras controladas pelo atacante, efetivamente roubando fundos da carteira da vítima.
Ao contrário da exploração do driver da impressora, o MassJacker usou mais de 750.000 endereços únicos em vez de um recorrente. O malware conseguiu infiltrar-se no hardware do utilizador através de software pirateado e crackeado descarregado de sites não oficiais.
Ver original
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
Exploração de impressoras revela nova ameaça a carteiras de criptomoeda
A MistTrack revelou recentemente uma nova ameaça no espaço criptográfico que rouba fundos das carteiras dos utilizadores, na forma de uma exploração de sequestro encontrada dentro de um driver de impressora.
Num post recente, a divisão de cibersegurança da SlowMist alertou sobre uma ameaça relativamente nova, mas difícil de detectar, que está entrando no espaço cripto. Através de um driver de impressora instalado, um programa de backdoor malicioso é capaz de sequestrar a área de transferência dos utilizadores e substituir o endereço da carteira cripto copiado pelo do atacante.
“O driver oficial fornecido por esta impressora contém um programa de backdoor. Ele irá sequestrar o endereço da carteira na área de transferência do usuário e substituí-lo pelo endereço do atacante,” escreveu a plataforma de cibersegurança web3.
De acordo com dados on-chain da MistTrack, o atacante roubou pelo menos 9.3086 Bitcoin (BTC) de dezenas de endereços on-chain. Com base nos preços atuais, os fundos roubados totalizam quase 1 milhão de dólares ou cerca de 989.383 dólares.
O endereço da carteira de criptomoedas está ativo desde 22 de abril de 2016. Antes de suas atividades recentes, a última transação na cadeia detectada foi em 14 de março de 2024 e está ligada a múltiplas exchanges de criptomoedas.
Como funciona a exploração?
Casos de exploits de malware ocultos, como o destacado pelo MistTrack, ocorrem como resultado de atacantes que distribuem código malicioso através de programas que precisam ser instalados no hardware do utilizador, como um laptop, computador ou dispositivo móvel. Neste caso, o atacante inseriu o programa de backdoor através de um driver de impressora que parece legítimo.
Uma vez instalado, o driver monitoriza a área de transferência do utilizador— a área de armazenamento temporário onde os dados copiados são mantidos— em busca de endereços de carteiras de criptomoedas. Se o utilizador copiar o que parece ser um endereço de carteira de criptomoeda para enviar fundos, o malware substitui-o pelo endereço de carteira de criptomoeda do atacante.
Quando o utilizador cola o que acredita ser o endereço original da carteira de criptomoedas a partir da área de transferência e não consegue notar a alteração sequestrada, os fundos são enviados para a carteira do atacante em vez do destinatário pretendido.
Um exploit semelhante foi destacado pela CyberArk em março de 2025, que envolveu um malware chamado MassJacker. O malware permitiu que o atacante acessasse a área de transferência do usuário para alterar o endereço original da carteira de criptomoedas e redirecionar transações de criptomoedas para carteiras controladas pelo atacante, efetivamente roubando fundos da carteira da vítima.
Ao contrário da exploração do driver da impressora, o MassJacker usou mais de 750.000 endereços únicos em vez de um recorrente. O malware conseguiu infiltrar-se no hardware do utilizador através de software pirateado e crackeado descarregado de sites não oficiais.