Bitcoin Forum

Olá, boa tarde comunidade Bitcoin brasil

Vou relatar minha experiência de usuário bitcoin, em abril de 2016 (por aí) eu peguei um vírus (não sei como!!!) que como descrevi no título desse tópico acima, esse vírus substitui o endereço que vc copia por outro!!!! e quem não tem o costume de verificar se você colou o endereço certo na hora de enviar, acaba erroneamente, enviando bitcoins para o endereço que o vírus substituiu! eu fui vítima disso, mas hoje graças a deus tenho boas práticas de segurança e nunca mais peguei ele.

Alguém já passou por essa experiência ruim de ter pegado esse vírus ? que nome ele se classifica como vírus ? um tipo de keylogger ?

Quais são as possíveis formas de se infectar com esse vírus ? e como se prevenir dele ?

E o pior que isso não é muito alertado aqui na comunidade, mas acaba se tornando uma experiência ruim principalmente para usuários novos!

Obrigado e desculpem o incômodo.

att

Já ouvi falar sobre esse vírus, dei uma pesquisada aqui e infelizmente não lembro onde foi, mas foi exatamente esse vírus.

Geralmente você pega vírus instalando algo no seu computador, algum Software que você pode achar que era de confiança mas era alguma cópia... Vale sempre as dicas, baixar sempre software de sites oficiais. Dar preferência a sites https, pretar atenção para não entrar em sites falsos. Por exemplo ao invés de entrar em blockchain.info entrar em blockchaiin.info (exemplo apenas).

Recomendo que quando for mexer com BTCs utilizar um live cd do UBUNTU, ou ter o Ubuntu instalado em dual boot no seu pc, apesar de não ser a prova de vírus, há menos quantidade para linux hoje em dia.

No mais sempre verificar se o endereço que você colou corresponde ao correto, eu sempre olho os 3 primeiros caracteres e os 3 finais, muito difícil que consigam trocar o seu endereço por um parecido com o seu. É isso.

Pois é amigo, eu não lembro como peguei esse vírus, mas recomendo que vc verifique os 4 primeiros dígitos e os 4 ultimos dígitos, pois diz a lenda que ele substitui para um endereço quase igual o seu!

Também tenho essa mania de olhar os primeiros e os ultimos digitos dos endereços de btc, não por virus, só por garantia mesmo de que esta certo..

Outra ferramenta para evitar virus é usar o site https://www.virustotal.com/pt/ para scanear arquivos

Perigoso isso. Em qual carteira o vírus agia ?? Na Bitcoin Core ou em carteiras online ?? Bom saber que existe esses vírus. Vou ficar atento.

Pelo que eu me lembro, ele age na área de transferência, quando ele identifica que o padrão de um endereço de carteira foi copiado pra área de transferência, ele automaticamente troca por um endereço diferente... ai na hora de colar é outro endereço. Então não importa o qual carteira utilize, o problema é na hora de copiar e colar pra enviar os BTCs.

Exatamente, ele age na área de transferência, eu não entendo nada de programação, mas acho que é um vírus script, eu não sei se ele classifica na categoria spyware ou Keylogger, pois o Keylogger captura as teclas que vc digita, já esse virus, ele captura endereços bitcoin, um nome pra descrever esse tipo de vírus seria: rastreador de endereços. É complicado. O meu medo maior seria a possibilidade de existir uma variante desse vírus que em vez de capiturar endereços, capturar chaves privadas dos usuários na hora de importar ou exportar chaves privadas  :o

Eu fico imaginando isso no futuro, as vezes se formos otimistas, esse tipo de vírus pode contribuir para o aumento de segurança na hora de manusear e administrar a carteira bitcoin, uma vez que usuários vão demandar cada vez mais segurança e surgem formas mais eficazes de se previnir de qualquer tipo de malware. O amigo acima me aconselhou usar o Ubuntu no live cd, mas tenho a carteira-qt sincronizando ainda, e uma vez desliguei o PC sem fechar a wallet aí tive que sincronizar a wallet tudo de novo, será que se eu copiar a pasta appdata/bitcoin e colar no Ubuntu a wallet vai continuar sincronizando de onde eu parei, ou vou vai ter que começar tudo de novo ????
Obs: Caso vc me recomende a usar clientes mais leves, eu não curto muito outras carteiras, nem as HD (Hyerarquical Deterministc) eu gosto de usar o software original dá rede bitcoin

Deve ser algo tipo "se o conteúdo do ctrl+c contém de 30 a 40 caracteres, começa com 1 e não tem caracteres especiais, substituir o conteudo por 1endereçoFalsoXxxxxxxxxxx"
Para quem tem conhecimento, não deve ser difícil fazer um malware assim..

Grande parte da segurança depende do usuário também, só não sair clicando por tudo que é raro pegar algo.. bom mesmo é paper wallets para quantias grandes..

É, hoje em dia tem que se atentar a tudo viu, o pessoal não sabe mais o que faz pra tentar roubar a grana dos outros.
Tem gente que não quer saber pra nada de trabalhar, e acha que roubar as pessoas é um método fácil e "descolado".

Serve de aviso aos desavisados agora! Quem não confere sabe que tem que conferir rs

Pois é, ShooterXD, o essencial é instalar o cliente bitcoin em um ambiente mais seguro, como em um computador separado somente para operações bancárias como o Bitcoin, mas nem todo mundo tem dinheiro pra ter 2 pc/note em casa, porque aqui é brasil kkk infelizmente. Mas comprando uma carteira hardware como a ledger ou trezor já ajuda a amenizar o problema, mas não é a mesma segurança do que rodar o cliente numa máquina só pra isso.

Quais as falhas de segurança dessas carteiras de hardware?
Alguém aqui no Brasil tem uma?

Um Raspberry Pi não seria uma alternativa melhor do que usar um note/pc só pra isso?

Eu não sei sobre as possíveis falhas de seguranças, mas essas hardware wallet tem Sistema operacional próprio em que só a carteira é instalada e mais nada, impossivel algum malware ser instalado nele. Tornando ele seguro, diz que vc pode operar até em computadores infectados por vírus que não tem problema, já que suas chaves privadas são salvas no dispositivo.

Exatamente, sabotag3x, um Raspberry PI é a melhor opção para rodar um full node por baixo custo-benefício, já que ele consome pouca energia, eu tinha me esquecido disso, mas foi bom você lembrar. :D

Essas hardware wallet mesmo se derem problema tem como recuperar sua private key, pelo mesmo essas ledger que vejo o povo falando, acho que elas são muito boas sim... Se eu conseguir a um bom preço quero comprar para experimentar.

Pessoal descobri o nome do vírus que intercepta a área de transferência procurando pelo endereço bitcoin, o nome dele é coinbitclip.trojan então tomem cuidado

Também estou com este problema, meu antivírus não o detecta, ainda estou procurando uma solução através de anti spywares. Qualquer novidade, aviso. ???

Vc lembra de ter entrado em algum site, baixou algum programa ou arquivo pela internet ou no email? Instalou alguma extensão no navegador??

Sugiro dar uma olhada no malwarebytes, ele é um antimalware e antispyware, caso ele encontre esse vírus, por favor, caso ele detectar o malware, copie o diretório onde ele está instalado, para que possamos analisar onde que ele se instala, e o mais importante, o nome do apk que ele usou. Se o malwarebytes não resolver seu problema, sugiro formatar a maquina.

Muito obrigado pelas informações.

Nossa, realmente o povo inventa de tudo pra poder roubar hoje em dia. Eu nem conferia nada quando ia fazer minhas trocas, a partir de hoje vou conferir pelo menos o começo e o fim pra não cair em uma dessas

Vc resolveu esse problema? Eu nunca mais peguei desde que passei a cuidar melhor da segurança.

Li que ele fica no gerenciador de tarefas como firefox.exe.. tentem dar uma olhada..
o resto eu não lembro, como remover e essas coisas que realmente interessam..

também ouvi falar isso, mas é raro hoje em dia alguém pegar esse malware, mas eu tive o azar de pegar na época. Ouvi também que são algumas extensões do chrome maliciosas que infectam os usuários.

Amigos, aconteceu comigo, dei CTRL+C num endereço bitcoin, e na hora de dar CTRL+V o endereço era diferente. Fosse no navegador, ou num bloco de notas, meu PC estava infectado. Felizmente não perdi nenhum bitcoin pois sempre verifico o endereço diversas vezes na hora de fazer uma transação.

Bom, melhor notícia ainda é que consegui resolver.

Assim que descobri que meu PC estava com esse problema, fiz uma pesquisa no Google e comecei a seguir essa lista aqui: https://www.bleepingcomputer.com/forums/t/651186/need-anti-mailware-programs/#entry4281563

Basicamente são anti-malwares, adwares, junkwares e tudo mais pra passar a limpo o PC.

Passei o Malwarebytes, o AdwCleaner, o JRT, mas só foi resolver mesmo com o HitmanPro.

Pra ser sincero, pelo que entendi o HitmanPro não fez nada de especial que não fosse remover os cookies do navegador. Então, depois de tudo, acho que a solução era simples assim (pelo menos no meu caso).

De qualquer jeito, fica aí a dica pra vocês. Ah, e sempre vale passar esses softwares de segurança né (bom, desde que sejam de uma fonte confiável como o Bleeping Computer). Enfim, é isso.

Abraços.

Eu  ja passei,  deu  muito trabalho para remover, perdi mais de 27000 dogecoin

No caso trocou o endereço Dogecoin também, isso?

Eu verifico sempre os 3 primeiros e 3 ultimos, as vezes até digito o endereço conferindo 2 vezes o caracter que escrevi.

isso

Eu sempre procuro algo de diferente, letras iguais umas perto da outra, números que me lembrem algo.

Coleguinha perdeu $100

https://www.youtube.com/watch?v=jWVm-XJn6gg

aqui o perdedor
https://adrenaline.uol.com.br/forum/threads/procuro-entusiastas-para-mineracao-de-ethereum.588214/page-120#post-1073156267

Bom dia

Já ouvi falar deste vírus e alguns conhecidos meus também ja foram vítimas dele.

Muito cuidado, deve estar embutido em quaisquer documentos relacionados a ico, carteiras fracas e sites relacionados as icos.

Sempre verificar o endereço na hora de colar, ir com calma na transação, muitas vezes ficamos ansiosos para tirar o dinheiro e queremos tudo muito rápido e acabamos cometendo algum erro.

Vamos ficar alerta, passar anti scams no pc e sempre verificar, guardas as coisas em hard drive externo..

Este meio esta sendo grande alvo dos hackers..vamos nos cuidar

Fazer isso tudo e clicar em aúncio de "Você ganhou 10 Iphones, clique aqui" não adianta muito...

Eu acho um bom costume nao ficar armazenando as chaves privadas em um ambiente de uso diario, eu sempre mexo com as chaves privadas apenas em um linux live e com carteira electrum (open source).

acabei de perder 0,01

1Pci4sNUHwsSzicT3Xdk5A1QHbjG4ukQff mandei pra esse endereço

vou instalar o hitmanpro

resolvido com o hitman pro, o arquivo infectado é o "audipo.exe" muito cuidado com ele

Autoconferência sempre. Como alguns amigos disseram, ao menos os primeiros e últimos caracteres da wallet. Melhor pecar pelo excesso que pela falta

Valeu pelo alerta. Um virus bem simples e pode causar um estrago.
Adotar boas praticas de segurança e instalar um bom antivirus tem que ser regra.

Ótimo tema e obrigado pela dica de site verificador de virus.

So revivendo o tópico por causa de uma pagina que eu vi recentemente com um tutorial ensinando a fazer esse tipo de golpe:

limontec.com/2018/04/pastejacking-bitcoin-address.html (http://limontec.com/2018/04/pastejacking-bitcoin-address.html)

Quando eu vi este post pela primeira vez achei que isso era originada apenas de algum virus mais robusto que o antivirus bloqueava facilmente.

Depois de ler o tutorial percebi como isso era fácil, lá é feito um atque MITM sobre a rede wifi e adulteram  a pagina onde contém o endereço de pagamento, até aí tudo bem, já que isso é dificil e complexo para fazer, agora o que me impressionou foi a parte de usarem apenas um javascript para fazer com que a página mostre um endereço e o ctrl C e ctrl V mude o endereço ! E como isso é apenas um javascript simples (é algo como 3linhas de código) é dificil que o antivirus pegue como algo perigoso. E mais, isso quer dizer que qualquer um que tiver seu proprio sistema para receber bitcoins de seus clientes pode facilmente acrescentar esse script e fingir que nada aconteceu.

Por isso além de ter que tomar cuidado com o sistema operacional é bom também se preocupar com o site que está fazendo o pagamento, e sempre conferir o endereço que você está enviando o dinheiro.

é o velho man in the middle, devemos estar sempre atentos a isso pois nunca se sabe, fiquei um pouco com medo pois isso pode acontecer com qualquer um, ahh esse tópico, foi o meu segundo tópico que eu postei neste fórum rs

No caso de site com pagamentos em criptos, melhor optar por sites mais confiáveis e de renome.

 Cara, lendo a postagem la do cara do adrenaline que perdeu U$ 100,00, como é que vírus conseguiu gerar um outro endereço com iniciar e final igual do cara, mudou só meio, pode isso Arnaldo?

"Fiz mais testes: todo e qualquer endereço gerado no advcash, quando eu copio e colo, se transforma em 18ymz1frAuAB8PH66yP5uEC6zNUkGeAu6g."

Não era endereço com início e fim igual não, tem até vídeo dele mostrando, é sempre um endereço em específico... Mas se o vírus tiver um vanity, ele consegue pegar pelo menos os 4 primeiros caracteres iguais e um tempo muito rápido (tempo entre o usuário copiar e colar). O início e o fim fica mais difícil

Isso é surreal, é uma velocidade absurda para a troca ser realizada. Temos que ficar atentos no endereço por completo. Nem mais naquele tradicional início e fim do endereço nós podemos confiar

Na verdade checando umas 3 letras do inicio e do fim já está o suficiente, endereços bem difícil para o atacante ficar gerando endereços parecidos desse jeito toda vez que quer fazer uma vítima, a não ser que você seja um alvo específico dos atacantes...

eu olhos as 3 primeiras letras 3 do meio e 3 ultimas umas duas ou 3 vezes rsrsrsrssr

Na verdade, o atacante gera um lote de 100, 10.000, 100.000 de endereços e usa cada endereço que pareça com os copiados pela vítima, aí durante esse processo, o malware procura por um dos endereços gerados no lote que mais parecer pelo endereço que ele copiou, isso em questão de segundos... muita gente fala que não é, mas eu considero esse malware um spyware e dos bravos, pois ele fica espionando o clipboard da vítima...

:o pensei que fosse um endereço aleatório.. Eu também, só sei umas 4 letras iniciais e 4 finais..

Ai é complicado.. Ta ainda na ativa esse vírus ai? Como será que ele controla quando um endereço deses "100.000" recebeu alguma quantia?

Temos que tirar o chapéu pro cara, que trabalheira..

Técnica bem interessante,  e trabalhosa, nunca trabalhei com a API da blockchain, mas pela a API da blockchain tem como gerar endereços?

Acho que eles usam o vanity gen para gerar o lote de endereços, @sabotag3x tem versões mais simples do vírus que usa só um endereço mesmo, agora as novas versões desse malware vem com esse, os caras são mesmo atentados

Entendi, se o vanity gen tiver api da para fazer sim, mas no site diz para entrar em contato, mito bem bolado o processo de troca de endereço.

O código para gerar endereços vanity é conhecido e divulgado, não é necessário api, o cara já coloca o código dentro do próprio vírus

Serio? Ai fica mais fácil, mas como controla para não gerar duplicidade de endereço será? Interessante o assunto.

Não controla, você tem uma chance em 2^160 . Com o poder computacional atual, você gastaria mais que a unidade do universo pra conseguir achar o mesmo endereço. Ou seja, quem controla é a probabilidade

Transaçoes de BTC eu so constumo fazer atraves de linux, eu tinha um notebook so pra isso, mas agora estou fazendo por maquina virtual, é menos seguro mas ainda é muito mais seguro que fazer direto no windows.
No mais, sempre é bom verificar o começo e o final do endereço até pra verificar se por acaso vc nao esqueceu algum caractere da carteira.

Eu fui vítima, nem lembro o valor na época, acho que era coisa de 0.016 e alguma coisa, só sei que valia R$25, eu fui vítima mas tenho que admitir: é o malware mais bem bolado que eu vi nesse mundo louco rsrs

Eu me lembro que alguém já postou sobre isso, mas não consegui achar. Tinha até um post perguntando se existia um vírus que captasse uma SEED quando tivesse sido copiada. O vírus identificaria o padrão das palavras e também salvaria. Algo assim.

Se você encontrar deixe linkado aqui, isso é preocupante, precisamos nos previnir desses tipos de ataques, sim ele faz o checksum da última palavra e depois identificava que se trata de uma frase mnemônica, vou pesquisar tbm, ver se encontro algo.

Ah já ia quase me esquecendo, é bom criptografar a frase com senha bip39, acho que já meio que resolve o problema, pois a seed vai estar criptografada.

Eu acho que um vvírus sofisticado como esse, que identifica a seed copiada, facilmente deve ter uma função de keylogger (não faz sentido roubar só uma seed quando você pode roubar o acesso a todas as contas do usuário), então seria apenas uma questão de tempo até o atacante descobrir que está criptografado e usar a senha captada. O melhor mesmo seria evitar totalmente qualquer vírus que seja, assim você consegue garantir a segurança do computador todo.

Exato, eu penso o mesmo sobre esse vírus aí que altera endereços, pois mesmo que não tinha, pode ter outras versões mais sofisticadas ou vao ter, as coisas evoluem

Alerta: Malware está monitorando 2.3 milhões de endereços Bitcoin

https://livecoins.com.br/alerta-malware-esta-monitorando-2-3-milhoes-de-enderecos-bitcoin/

Mais um malware que altera o endereço Bitcoin, fiquem atentos, se estiverem usando windows utilize um bom antivírus, de preferência pago ou se tiver usando Linux, mantenha o hábito de manter boas práticas de segurança e sempre verificar os últimos 4 dígitos do endereço (começo e fim) antes de enviar pagamentos: https://mundohacker.net.br/avast-detecta-e-protege-usuarios-contra-malware-que-atinge-administradores-de-sites-e-proprietarios-de-criptomoedas/

O que você acha do Malwarebytes para combater esse tipo de ameaça ? Já vi várias vezes ele detectar invasões de malwares relacionados a criptomoedas. Isto procede ?

É a melhor opção que você poderia optar, pois já comprei uma licença paga do malware bytes anti-malware e nunca mais tive problemas com virus, malwares, keyloggers, worms, rootkits e outras pragas digitais, certa vez utilizei o malware-bytes no PC infectado de meu irmão, ele encontrou por volta de 1.500 infecções de vírus e adwares, incluindo mineradores ocultos de moneto e spywares como o spyware zeus: http://www.mundodoshackers.com.br/trojan-banker-variante-do-zeus

Também uso esse Malwarebytes na modalidade paga e sempre detectou tentativas de invasão. Não chega a 1500 infecções como o PC do seu irmão. Agora, diz para nós por onde navegou seu irmão ?

Ele tem o costume de baixar software pirata, e além disso, não usava um antivírus decente, agora eu não sei como que alguém pega 1500 infecções, mas destas 1500 infecções, 5 ou 6 eram de malwares como spywares e keyloggers...

"O melhor antivírus é um usuário vacinado". A galera faz por onde e depois reclama se perguntando o motivo daquilo está acontecendo.

Eu tomei vacina da gripe esse ano. tá suficiente ou precisa da de sarampo também?

Quem nunca entrou no "bitcointalk.to" que atire a primeira pedra.. O Metamask também ajuda contra phishing pois avisa que provavelmente você está no site errado..


Vacinas causam autismo, cuidado! ;D

Esse ai eu ja nasci com ele, não tem como causar de novo!

Aliás, esse site é scam? De onde que ele saiu? As vezes aparece nas buscas do google antes do domínio oficial, nunca parei pra pesquisar a fundo se ele é scam ou não

É um site de phishing na qual são obtidos o email e a senha do usuário ue tentar logar - uma medida de prevenção é colocar o site https://bitcointalk.org nos favoritos e sempre entrar por ele.
https://bitcointalk.org/index.php?topic=3765354.0

Sempre fui muito bem cuidadoso com meu pc e principalmente com as minhas carteiras btc e eth. Mas alguns dias notei que meu pc estava lento e quando copiava algum endereço btc ou eth para enviar ou apenas para pesquisar na blockchain, as vezes ele era automaticamente trocado por outro endereço desconhecido. Primeira coisa que fiz foi scannear meu pc, tinha um trojan! removi, mas o problema continua. Desistalei uma extensão do meu navegador e o problema continua, naveguei pelo modo anonimo e continua. A ultima tentativa foi testar endereços offline e acreditem, o problema continua!!!!!!Ja estou ficando paranoico! que diabos é isso? Será que não removi corretamente o virus? Será um script? Um tipo especial de virus? Ou bug do windows, que dependendo da sequência do endereço, copia errado?  Gostaria de saber as suas opiniões.

O Trojan que troca o endereço não foi removido. Recomendo que salve a wallet.dat em um lugar seguro e evite abrir sua carteira em seu PC - o trojan além de alterar o endereço pode ter outras funcionalidades, como: copiar as chaves privadas e senhas utilizadas. Até tem como evitar a troca de endereço utilizando um autocompletar com obfuscação, mas como seu sistema já está comprometido a melhor atitude a se fazer é formatar e fazer uma instalação limpa.

O virus foi para a quarentena e em seguida removi-lo junto com a pasta e seus registros. Scanniei novamente e meu antivirus não detectou mais nada. E trojan funciona offline?

Sim - funciona offline e realiza um report quando estiver online. Não é um bom sinal o antivirus não detectar nada e os endereços continuarem mudando,  significa que o trojan foi removido parcialmente ou existe outro que o antivirus não detecta. Talvez, o Malwarebytes resolva - você pode utilizar a versão trial que dura 14 dias - https://br.malwarebytes.com/trial/

Muito obrigado pelos seus conselhos. A melhor coisa a fazer é formatar mesmo! Provavelmente meu pc esta infectado. O estranho é que criei uma carteira na MEW e salvei a chave privada e endereço em um arquivo de texto nos meus documentos  sem proteção nehuma e depositei 0.146ETH apenas para colocar uma recarga de celular e não foi hackeado. Será que o possivel hacker só quer altas quantias ou esse virus apenas muda o endereço copiado? E detalhe que notei... EX: Se eu copio esse endereço 17ZLbrFm22eAoTMTME6P8kghJJq1Vd6GFm muda para 17xxxxxxxxxxxxxxxxxxxxxxxxxm as 2 primeiras e a ultima letra ou numero são iguais ao endereço original... provavelmente o virus tem um banco de dados e quando o endereço copiado tem o inicio e o fim igual a algum endereço da lista do hacker, ele é trocado automaticamente.
Mais uma vez obrigado! Boa noite.