O mundo de golpistas de criptomoedas é uma selva sem leis. Novos relatórios acabaram de revelar como um usuário identificou golpistas para roubar os criptoativos que eles já haviam roubado.
Os ladrões costumam empregar técnicas de engenharia social para interagir com as vítimas e convencê-las a se desfazer do dinheiro que ganharam com muito cuidado. Eles fazem isso enviando fundos diretamente aos fraudadores ou fornecendo as permissões necessárias para obter acesso às carteiras.
Water Labbu, o nome do indivíduo — ou grupo de usuários — que roubou os golpistas, teria aproveitado um método semelhante para roubar criptomoedas, obtendo permissões de acesso às carteiras de suas vítimas. Eles, no entanto, não usaram qualquer tipo de engenharia social, deixando o trabalho sujo para os fraudadores originais.
Em vez de criar seus próprios sites fraudulentos, o Water Labbu comprometeu os sites de outros golpistas que estavam se passando por aplicativos descentralizados legítimos (dApps) e injetou um código JavaScript malicioso neles.
À espreita nas sombras, o Water Labbu esperou pacientemente que vítimas de alto valor conectassem suas carteiras a um desses golpes, antes de injetar uma carga JavaScript naquele site para roubar os fundos.
Nada mudou para as vítimas do golpista original — eles ainda foram roubados. A única diferença é que o Water Labbu começou a roubar criptomoedas dos fraudadores, desviando os fundos para suas próprias carteiras.
“O pedido é disfarçado para parecer que estava sendo enviado de um site comprometido e pede permissão para transferir uma quantidade quase ilimitada de USD Tether da carteira do alvo”, diz a Trend Micro em um relatório.
Water Labbu saiu com mais de US$ 300.000
Em um caso identificado, o script malicioso drenou com sucesso o USDT de dois endereços, trocando-os na Bolsa Uniswap—primeiro para a stablecoin USDC e depois para Ethereum (ETH)—antes de enviar os fundos ETH para o misturador Tornado Cash.
O relatório também observou que o Water Labbu usou métodos diferentes para diferentes sistemas operacionais. Por exemplo, se a vítima carrega o script de uma área de trabalho com o Windows, ele devolve um outro script mostrando uma mensagem falsa de atualização do Flash pedindo à vítima para baixar um arquivo executável malicioso.
A Trend Micro disse que o Water Labbu comprometeu pelo menos 45 sites fraudulentos, a maioria deles seguindo o chamado “garantia de liquidez de mineração sem perdas”, um modelo perigoso, alertado pelas agências de aplicação da lei.
De acordo com analistas de segurança, o lucro obtido pelo malware é estimado em pelo menos US$ 316.728, com base em registros de transações de nove vítimas identificadas.
*Traduzido por Gustavo Martins com autorização do Decrypt.