[ALERTA] MALWARE QUE ALTERA O ENDEREÇO BITCOIN PELO ENDEREÇO DE HACKER

[Pumared]

So revivendo o tópico por causa de uma pagina que eu vi recentemente com um tutorial ensinando a fazer esse tipo de golpe:

limontec.com/2018/04/pastejacking-bitcoin-address.html

Quando eu vi este post pela primeira vez achei que isso era originada apenas de algum virus mais robusto que o antivirus bloqueava facilmente.

Depois de ler o tutorial percebi como isso era fácil, lá é feito um atque MITM sobre a rede wifi e adulteram  a pagina onde contém o endereço de pagamento, até aí tudo bem, já que isso é dificil e complexo para fazer, agora o que me impressionou foi a parte de usarem apenas um javascript para fazer com que a página mostre um endereço e o ctrl C e ctrl V mude o endereço ! E como isso é apenas um javascript simples (é algo como 3linhas de código) é dificil que o antivirus pegue como algo perigoso. E mais, isso quer dizer que qualquer um que tiver seu proprio sistema para receber bitcoins de seus clientes pode facilmente acrescentar esse script e fingir que nada aconteceu.

Por isso além de ter que tomar cuidado com o sistema operacional é bom também se preocupar com o site que está fazendo o pagamento, e sempre conferir o endereço que você está enviando o dinheiro.

No caso de site com pagamentos em criptos, melhor optar por sites mais confiáveis e de renome.

[Corsarios]

 Cara, lendo a postagem la do cara do adrenaline que perdeu U$ 100,00, como é que vírus conseguiu gerar um outro endereço com iniciar e final igual do cara, mudou só meio, pode isso Arnaldo?

[Loganota]

Cara, lendo a postagem la do cara do adrenaline que perdeu U$ 100,00, como é que vírus conseguiu gerar um outro endereço com iniciar e final igual do cara, mudou só meio, pode isso Arnaldo?

"Fiz mais testes: todo e qualquer endereço gerado no advcash, quando eu copio e colo, se transforma em 18ymz1frAuAB8PH66yP5uEC6zNUkGeAu6g."

Não era endereço com início e fim igual não, tem até vídeo dele mostrando, é sempre um endereço em específico... Mas se o vírus tiver um vanity, ele consegue pegar pelo menos os 4 primeiros caracteres iguais e um tempo muito rápido (tempo entre o usuário copiar e colar). O início e o fim fica mais difícil

[lhvleao]

Cara, lendo a postagem la do cara do adrenaline que perdeu U$ 100,00, como é que vírus conseguiu gerar um outro endereço com iniciar e final igual do cara, mudou só meio, pode isso Arnaldo?

Fiz mais testes: todo e qualquer endereço gerado no advcash, quando eu copio e colo, se transforma em 18ymz1frAuAB8PH66yP5uEC6zNUkGeAu6g.

Não era endereço com início e fim igual não, tem até vídeo dele mostrando, é sempre um endereço em específico... Mas se o vírus tiver um vanity, ele consegue pegar pelo menos os 4 primeiros caracteres iguais e um tempo muito rápido (tempo entre o usuário copiar e colar). O início e o fim fica mais difícil

Isso é surreal, é uma velocidade absurda para a troca ser realizada. Temos que ficar atentos no endereço por completo. Nem mais naquele tradicional início e fim do endereço nós podemos confiar

[wilwxk]

Na verdade checando umas 3 letras do inicio e do fim já está o suficiente, endereços bem difícil para o atacante ficar gerando endereços parecidos desse jeito toda vez que quer fazer uma vítima, a não ser que você seja um alvo específico dos atacantes...

[ManualdoBitcoin]

eu olhos as 3 primeiras letras 3 do meio e 3 ultimas umas duas ou 3 vezes rsrsrsrssr

[Forsyth Jones]

Cara, lendo a postagem la do cara do adrenaline que perdeu U$ 100,00, como é que vírus conseguiu gerar um outro endereço com iniciar e final igual do cara, mudou só meio, pode isso Arnaldo?

Na verdade, o atacante gera um lote de 100, 10.000, 100.000 de endereços e usa cada endereço que pareça com os copiados pela vítima, aí durante esse processo, o malware procura por um dos endereços gerados no lote que mais parecer pelo endereço que ele copiou, isso em questão de segundos... muita gente fala que não é, mas eu considero esse malware um spyware e dos bravos, pois ele fica espionando o clipboard da vítima...

[sabotag3x]

Cara, lendo a postagem la do cara do adrenaline que perdeu U$ 100,00, como é que vírus conseguiu gerar um outro endereço com iniciar e final igual do cara, mudou só meio, pode isso Arnaldo?

Na verdade, o atacante gera um lote de 100, 10.000, 100.000 de endereços e usa cada endereço que pareça com os copiados pela vítima, aí durante esse processo, o malware procura por um dos endereços gerados no lote que mais parecer pelo endereço que ele copiou, isso em questão de segundos... muita gente fala que não é, mas eu considero esse malware um spyware e dos bravos, pois ele fica espionando o clipboard da vítima...

pensei que fosse um endereço aleatório.. Eu também, só sei umas 4 letras iniciais e 4 finais..

Ai é complicado.. Ta ainda na ativa esse vírus ai? Como será que ele controla quando um endereço deses "100.000" recebeu alguma quantia?

Temos que tirar o chapéu pro cara, que trabalheira..

[Corsarios]

Cara, lendo a postagem la do cara do adrenaline que perdeu U$ 100,00, como é que vírus conseguiu gerar um outro endereço com iniciar e final igual do cara, mudou só meio, pode isso Arnaldo?

Na verdade, o atacante gera um lote de 100, 10.000, 100.000 de endereços e usa cada endereço que pareça com os copiados pela vítima, aí durante esse processo, o malware procura por um dos endereços gerados no lote que mais parecer pelo endereço que ele copiou, isso em questão de segundos... muita gente fala que não é, mas eu considero esse malware um spyware e dos bravos, pois ele fica espionando o clipboard da vítima...

Técnica bem interessante,  e trabalhosa, nunca trabalhei com a API da blockchain, mas pela a API da blockchain tem como gerar endereços?

[Forsyth Jones]

Acho que eles usam o vanity gen para gerar o lote de endereços, @sabotag3x tem versões mais simples do vírus que usa só um endereço mesmo, agora as novas versões desse malware vem com esse, os caras são mesmo atentados

[Corsarios]

Acho que eles usam o vanity gen para gerar o lote de endereços, @sabotag3x tem versões mais simples do vírus que usa só um endereço mesmo, agora as novas versões desse malware vem com esse, os caras são mesmo atentados

Entendi, se o vanity gen tiver api da para fazer sim, mas no site diz para entrar em contato, mito bem bolado o processo de troca de endereço.

[Loganota]

Acho que eles usam o vanity gen para gerar o lote de endereços, @sabotag3x tem versões mais simples do vírus que usa só um endereço mesmo, agora as novas versões desse malware vem com esse, os caras são mesmo atentados

Entendi, se o vanity gen tiver api da para fazer sim, mas no site diz para entrar em contato, mito bem bolado o processo de troca de endereço.

O código para gerar endereços vanity é conhecido e divulgado, não é necessário api, o cara já coloca o código dentro do próprio vírus

[Corsarios]

Acho que eles usam o vanity gen para gerar o lote de endereços, @sabotag3x tem versões mais simples do vírus que usa só um endereço mesmo, agora as novas versões desse malware vem com esse, os caras são mesmo atentados

Entendi, se o vanity gen tiver api da para fazer sim, mas no site diz para entrar em contato, mito bem bolado o processo de troca de endereço.

O código para gerar endereços vanity é conhecido e divulgado, não é necessário api, o cara já coloca o código dentro do próprio vírus

Serio? Ai fica mais fácil, mas como controla para não gerar duplicidade de endereço será? Interessante o assunto.

[Loganota]

Serio? Ai fica mais fácil, mas como controla para não gerar duplicidade de endereço será? Interessante o assunto.

Não controla, você tem uma chance em 2^160 . Com o poder computacional atual, você gastaria mais que a unidade do universo pra conseguir achar o mesmo endereço. Ou seja, quem controla é a probabilidade

[squallw]

Transaçoes de BTC eu so constumo fazer atraves de linux, eu tinha um notebook so pra isso, mas agora estou fazendo por maquina virtual, é menos seguro mas ainda é muito mais seguro que fazer direto no windows.
No mais, sempre é bom verificar o começo e o final do endereço até pra verificar se por acaso vc nao esqueceu algum caractere da carteira.

[Forsyth Jones]

Eu fui vítima, nem lembro o valor na época, acho que era coisa de 0.016 e alguma coisa, só sei que valia R$25, eu fui vítima mas tenho que admitir: é o malware mais bem bolado que eu vi nesse mundo louco rsrs

[micloop]

Eu me lembro que alguém já postou sobre isso, mas não consegui achar. Tinha até um post perguntando se existia um vírus que captasse uma SEED quando tivesse sido copiada. O vírus identificaria o padrão das palavras e também salvaria. Algo assim.

[Forsyth Jones]

Eu me lembro que alguém já postou sobre isso, mas não consegui achar. Tinha até um post perguntando se existia um vírus que captasse uma SEED quando tivesse sido copiada. O vírus identificaria o padrão das palavras e também salvaria. Algo assim.

Se você encontrar deixe linkado aqui, isso é preocupante, precisamos nos previnir desses tipos de ataques, sim ele faz o checksum da última palavra e depois identificava que se trata de uma frase mnemônica, vou pesquisar tbm, ver se encontro algo.

Ah já ia quase me esquecendo, é bom criptografar a frase com senha bip39, acho que já meio que resolve o problema, pois a seed vai estar criptografada.

[wilwxk]

Ah já ia quase me esquecendo, é bom criptografar a frase com senha bip39, acho que já meio que resolve o problema, pois a seed vai estar criptografada.

Eu acho que um vvírus sofisticado como esse, que identifica a seed copiada, facilmente deve ter uma função de keylogger (não faz sentido roubar só uma seed quando você pode roubar o acesso a todas as contas do usuário), então seria apenas uma questão de tempo até o atacante descobrir que está criptografado e usar a senha captada. O melhor mesmo seria evitar totalmente qualquer vírus que seja, assim você consegue garantir a segurança do computador todo.

[Forsyth Jones]

Ah já ia quase me esquecendo, é bom criptografar a frase com senha bip39, acho que já meio que resolve o problema, pois a seed vai estar criptografada.

Eu acho que um vvírus sofisticado como esse, que identifica a seed copiada, facilmente deve ter uma função de keylogger (não faz sentido roubar só uma seed quando você pode roubar o acesso a todas as contas do usuário), então seria apenas uma questão de tempo até o atacante descobrir que está criptografado e usar a senha captada. O melhor mesmo seria evitar totalmente qualquer vírus que seja, assim você consegue garantir a segurança do computador todo.

Exato, eu penso o mesmo sobre esse vírus aí que altera endereços, pois mesmo que não tinha, pode ter outras versões mais sofisticadas ou vao ter, as coisas evoluem