Uma nova variante de malware conhecida como MassJacker está sendo utilizada por cibercriminosos para realizar ataques de cryptojacking focados em usuários que buscam softwares pirateados, substituindo endereços de criptomoedas armazenados em dispositivos infectados.
De acordo com um relatório publicado pela CyberArk em 10 de março, a ameaça se origina de um site chamado pesktop[dot]com, onde pessoas que baixam programas piratas acabam instalando sem saber o malware MassJacker.
Após a instalação do vírus, o malware age de forma furtiva, alterando os endereços de criptomoedas que os usuários copiam para a área de transferência, substituindo-os por endereços controlados pelos atacantes.
Com isso, as transações de criptomoedas realizadas pelos usuários acabam sendo redirecionadas para carteiras controladas pelos criminosos. A CyberArk revelou que, até o momento, 778.531 carteiras únicas estiveram vinculadas a esse tipo de roubo, sendo que 423 delas continham ativos criptográficos em algum momento.
O valor total de criptomoedas transferido ou armazenado nessas carteiras somava cerca de $336.700, conforme os dados de agosto. Contudo, a empresa alertou que a extensão real do roubo pode ser maior ou menor do que o registrado.
Entre as carteiras investigadas, uma chamou atenção por sua atividade. Ela possuía mais de 600 Solanas (SOL), que estavam avaliados em aproximadamente $87.000 no momento da análise, além de um histórico de armazenamento de tokens não fungíveis (NFTs) como Gorilla Reborn e Susanoo.
Uma pesquisa mais detalhada na blockchain de Solana, realizada por meio do explorador Solscan, revelou que essa carteira teve 1.184 transações desde março de 2022, e também se envolveu em negociações de finanças descentralizadas (DeFi), realizando trocas de tokens como Jupiter (JUP), Uniswap (UNI), USDC e Raydium (RAY), sendo uma das últimas ocorrências registrada em novembro de 2024.
Embora o malware MassJacker tenha se tornado um alvo de atenção recentemente, o uso de malwares de cryptojacking não é uma novidade. Desde 2017, quando o primeiro script de cryptojacking foi liberado pelo Coinhive, ataques a dispositivos variados, com diferentes sistemas operacionais, têm sido comuns.
Recentemente, a Kaspersky Labs identificou em fevereiro de 2025 malwares de criptomoedas em kits de desenvolvimento de aplicativos para Android e iOS, que tinham a capacidade de escanear imagens em busca de frases-semente de criptomoedas.
Em outubro de 2024, a Checkmarx, outra empresa de segurança cibernética, também detectou malwares voltados para roubo de criptomoedas dentro do Python Package Index, uma plataforma voltada para desenvolvedores. Até dispositivos com macOS não ficaram imunes a esse tipo de ameaça.
Os atacantes, ao longo do tempo, têm se tornado cada vez mais criativos em suas abordagens. Ao invés de enviar arquivos suspeitos ou pedir que as vítimas abram documentos infectados, agora eles optam por táticas mais discretas, como as “fraudes de emprego”.
Nesse esquema, o atacante convence a vítima a participar de uma entrevista virtual, durante a qual é solicitado que o candidato “resolva” um problema técnico relacionado ao microfone ou à câmera. No momento em que a vítima tenta corrigir o problema, o malware é instalado, permitindo que os criminosos acessem a carteira de criptomoedas e realizem transações fraudulentas.
Entre as diversas técnicas de ataque, o chamado “clipper” se destaca. Esse tipo de malware modifica os endereços de criptomoeda copiados para a área de transferência, redirecionando os fundos para carteiras controladas pelos atacantes.
Embora o clipper não seja tão amplamente conhecido quanto outros tipos de malwares, como os de ransomware ou roubo de informações, ele oferece diversas vantagens aos criminosos. Por operar de maneira sutil, muitas vezes não é detectado em ambientes de análise, como os “sandboxes” usados por especialistas em segurança, tornando o ataque ainda mais eficaz.
