HackBoss: malware que rouba criptomoedas é distribuído por meio do Telegram

Uma família de malware específica que foca em roubo de criptomoedas, chamada HackBoss, está sendo estudada por pesquisadores da Avast. O malware é considerado simples, mas muito eficaz, tendo possivelmente roubado mais de US$ 560 mil das vítimas até agora. 

Transmitido principalmente via Telegram, o HackBoss tem um ganho monetário significativo, segundo a Avast, sendo que os autores do malware possuem um canal de Telegram usado como a principal fonte para espalhá-lo. Ele é promovido como uma fonte de fornecimento "do melhor software para hackers (hack bank/dating/bitcoin)". 

Embora seja prometido que cada aplicativo promovido no canal seja de hacker ou cracker, a verdade é que cada postagem publicada contém apenas um malware para roubo de criptomoedas oculto como um aplicativo de hacking ou cracking. Além disso, nenhum aplicativo postado neste canal oferece o comportamento prometido, ou seja, todos são falsos.

O canal Hack Boss do Telegram foi criado em 26 de novembro de 2018, diz a Avast, e tem mais de 2,5 mil assinantes até o momento, fazendo uma média de 7 postagens por mês. As publicações geralmente contêm um link para armazenamento de arquivos criptografados ou anônimos a partir do qual o aplicativo pode ser baixado, além de uma descrição falsa da suposta funcionalidade do aplicativo e capturas de tela. 

Depois de baixar o aplicativo como um arquivo .zip, é possível executar o arquivo .exe, e uma user interface simples será exibida, sendo somente ela que pode abrir um diretório de arquivo ou pop-up de uma janela. Sua funcionalidade principal e maliciosa é acionada quando a vítima clica em qualquer botão. Depois disso, uma carga maliciosa é descriptografada e executada.

A carga maliciosa verifica regularmente o conteúdo da área de transferência em busca de um formato de carteira de criptomoeda e, se houver um endereço de carteira, ele a substitui por uma de suas próprias carteiras. A carga maliciosa continua em execução no computador da vítima mesmo depois que o aplicativo é fechado. 

Uma lista de mais de 100 endereços de carteira criptomoeda pertencentes aos autores do HackBoss foi identificada pelos pesquisadores da Avast, que afirmam que as criptomoedas são Bitcoin, Ethereum, Dogecoin, Litecoin e Monero.