HackBoss Malware

Um novo malware que coleta criptomoedas foi detectado pelos pesquisadores de segurança cibernética. A ameaça recebeu o nome de HackBoss, em homenagem ao canal do Telegram que foi usado para propagá-la. Embora o HackBoss seja um malware relativamente simples, sem nenhuma funcionalidade sofisticada, ele conseguiu atingir uma taxa de sucesso impressionante, coletando mais de $500.000 em criptomoedas para seus criadores. O principal fator para o ganho monetário significativo é a decisão dos hackers de mudar o alvo do ataque de usuários de computador normais para aspirantes a criminosos cibernéticos.

Um Coletor de Moeda Digital Disfarçado como Falsas Ferramentas de Hacking

O canal de telegramas Hack Boss se autodenomina um lugar para obter softwares de hackers poderosos. As ferramentas anunciadas incluem programas que são supostamente capazes de conseguir usando força bruta, credenciais de aplicativos bancários e de namoro, criptomoedas e crackers de chaves privadas, ou aplicativos geradores de códigos de cartão de presente. Cada postagem sobre um novo aplicativo de hacking ou cracking vem com uma descrição de sua funcionalidade e capturas de tela da IU. Os aspirantes a hackers que seguem o canal do Telegram baixam um arquivo ZIP contendo um arquivo .exe. Após a execução, uma IU adequada para o aplicativo promovido no momento será exibida. Tudo isso, no entanto, é apenas uma configuração projetada para ocultar o HackBoss Malware e enganar os possíveis hackers.

Análise HackBoss

O malware HackBoss é extremamente simples no seu design e recursos. Ele começa a sua execução sempre que um botão da IU do chamariz é clicado. Em vez da funcionalidade esperada do suposto aplicativo de cracking, uma carga corrompida é descriptografada e executada no diretório AppData\Local ou AppData\Roaming da máquina. O HackBoss começará a examinar o conteúdo da área de transferência em busca de quaisquer dados com o formato de um endereço de carteira criptografada regularmente. Se um alvo adequado for detectado, o malware substituirá o endereço copiado por uma de suas próprias carteiras.

O HackBoss é capaz de estabelecer um mecanismo de persistência para garantir sua presença no computador. Dois métodos foram observados. A ameaça pode ser configurada para ser executada a cada inicialização do sistema por meio de uma chave de Registro injetada ou criar uma tarefa agendada que executará a carga ameaçadora a cada minuto.

Apesar de sua estrutura bastante simples, o HackBoss conseguiu juntar mais de meio milhão em criptomoedas coletadas para os seus criadores. Os pesquisadores conseguiram atribuir mais de 100 endereços de carteira ao grupo HackBoss. Não surpreendentemente, a maioria é para Bitcoin, mas Ethereum, Dogecoin, Litecoin e Monero também estão incluídos.