Uma nova campanha maliciosa voltada para entusiastas de criptomoedas está em andamento, e o alerta vem diretamente da Microsoft Threat Intelligence, equipe global especializada em segurança da gigante da tecnologia. Os alvos são usuários que procuram por ferramentas de negociação de criptomoedas — e acabam, sem saber, instalando malware disfarçado de aplicativos legítimos.
Essa operação fraudulenta, que teve início no começo deste mês, está sendo promovida por meio de anúncios falsos. Esses anúncios enganosos direcionam os usuários para instaladores maliciosos que se apresentam como softwares confiáveis de marcas conhecidas como Binance e TradingView. Assim que o arquivo é baixado, o sistema da vítima é comprometido.
O malware, que foi desenvolvido com base na plataforma Node.js, entra em ação imediatamente após a instalação. Ele coleta diversas informações do computador infectado, como lista de programas instalados, versão da BIOS, configurações regionais e dados dos adaptadores de rede. Além disso, cria uma tarefa agendada — cuidadosamente ofuscada para escapar da detecção por antivírus — garantindo que o código malicioso continue ativo no sistema.
Enquanto isso, a vítima acredita estar acessando um site legítimo de negociação de criptomoedas, já que uma interface verdadeira é exibida como disfarce, servindo apenas como fachada enquanto o malware age nos bastidores. As informações obtidas podem ser exploradas para ataques direcionados no futuro ou outras ações maliciosas mais elaboradas.
Diante dessa ameaça, a Microsoft recomenda medidas de proteção específicas. Entre elas, estão o uso de proteção de endpoint, a restrição de comunicações externas suspeitas e o monitoramento de comportamentos incomuns em scripts. A empresa também reforça a importância da conscientização dos usuários sobre os perigos de instalar softwares obtidos de fontes não verificadas. Segundo a própria Microsoft, limitar a execução do Node.js pode ajudar a reduzir os impactos desse tipo de ataque.
Essa campanha de malvertising evidencia como cibercriminosos continuam explorando a confiança do público em marcas consolidadas para disseminar ameaças sofisticadas. Ao utilizar anúncios aparentemente legítimos para atrair usuários, os atacantes demonstram um nível elevado de planejamento e conhecimento sobre o comportamento dos traders de criptomoedas.
A utilização do Node.js como base para o malware reforça a necessidade de que equipes de segurança fiquem atentas a ambientes de execução menos tradicionais, que muitas vezes passam despercebidos pelas soluções de defesa convencionais.
