As operações da HUMINT descobrem a campanha de cryptojacking: distribuição baseada em Discord de malware de sequestro de prancheta direcionado a comunidades de criptomoedas

Sumário executivo

Por meio de extensas operações de Inteligência Humana (HUMINT) conduzidas em dezembro de 2025, a equipe STRIKE da CloudSEK descobriu uma sofisticada operação de roubo de criptomoedas orquestrada pelo ator da ameaça operando sob o pseudônimo”Linha Vermelha Cyber“. O ator se disfarça de afiliado de”Soluções RedLine”, aproveitando deliberadamente a notoriedade da conhecida família de infostealers RedLine para estabelecer falsa credibilidade em comunidades clandestinas.

A operação gira em torno de um executável malicioso chamado”Pro.exe“(também distribuído como" peeek.exe “), identificado como um trojan de sequestro de prancheta baseado em Python, projetado especificamente para roubo silencioso de criptomoedas. Ao contrário dos ladrões de informações tradicionais que coletam dados amplos do sistema, esse malware emprega uma abordagem altamente direcionada: ele monitora continuamente a área de transferência do Windows em busca de endereços de carteiras de criptomoedas e realiza a substituição em tempo real por endereços controlados pelo invasor no exato momento em que os usuários tentam colá-los durante as transações.

Principais descobertas

• Vetor de ataque: O ator da ameaça explora as relações de confiança nas comunidades do Discord com foco em jogos, jogos de azar e streaming de criptomoedas. A distribuição ocorre por meio de engenharia social direta, na qual o ator cultiva relacionamentos com possíveis vítimas, particularmente streamers e influenciadores de criptomoedas, por longos períodos antes de introduzir a carga maliciosa como uma “ferramenta de segurança” ou “utilitário de streaming”.
• Sofisticação técnica: Apesar de seu design eficaz, o malware demonstra complexidade técnica moderada. Ele é empacotado como um executável do PyInstaller contendo bytecode Python ofuscado, usa expressões regulares codificadas em base64 para detecção de carteira e implementa persistência básica por meio das chaves Windows Registry Run. O foco operacional estreito do malware, o monitoramento da área de transferência sem comunicação de rede ou exfiltração de dados, permite que ele mantenha um perfil de detecção baixo.
• Dados demográficos segmentados: A análise dos canais de distribuição revela o direcionamento deliberado de streamers de criptomoedas, comunidades de jogos de cassino e usuários que frequentemente lidam com transações de ativos digitais durante transmissões ao vivo.
• Impacto financeiro: A análise em blockchain dos endereços de carteira controlados pelo atacante incorporados ao malware revela um comprometimento bem-sucedido e um roubo financeiro de várias vítimas. O ator mantém carteiras separadas para as seis principais criptomoedas (Bitcoin, Ethereum, Solana, Dogecoin, Litecoin e Tron), indicando uma operação diversificada de roubo projetada para capturar transações em várias redes de blockchain.

Coleta e atribuição de inteligência contra ameaças

Operações da HUMINT e estabelecimento de contato inicial

Durante o monitoramento de rotina das atividades clandestinas de agentes de ameaças em meados de dezembro de 2025, os agentes HUMINT da CloudSEK identificaram um indivíduo que se identificava como afiliado da”Soluções RedLine“operando em comunidades de criptomoedas e jogos baseadas em Discord. O ator iniciou o contato por meio de vários servidores Discord, posicionando-se como desenvolvedor de ferramentas utilitárias e de segurança para streamers de criptomoedas.

O ator compartilhou o executável malicioso”Pro.exe“diretamente pelo Telegram e solicitou que o enquadrasse como se fosse uma ferramenta de proteção de prancheta projetada para evitar erros acidentais de endereço de criptomoeda durante sessões de transmissão ao vivo. O ator forneceu instruções específicas para distribuição, incluindo uma lista selecionada de convites para servidores do Discord direcionados a comunidades de jogos, jogos de azar e streaming onde vítimas em potencial se reúnem.

‍

Mapeamento da comunidade alvo

A coleta de informações revelou oito comunidades principais do Discord ativamente atacadas pelo ator da ameaça:

‍

Esse padrão de segmentação demonstra o foco estratégico do ator em comunidades onde as transações de criptomoedas ocorrem com frequência e onde os usuários podem ser mais suscetíveis à engenharia social devido à natureza acelerada das atividades de streaming e jogos de azar.

‍Perfil e atribuição do ator de ameaças

• Pseudônimo: Red Line Cyber
• Persona operacional: RedLine Solutions (operação de bandeira falsa)
• Indicadores geográficos: Desconhecido (segurança operacional mantida)
• Cronograma de atividades: Ativo desde pelo menos outubro de 2025
• Modelo de monetização: Roubo direto de criptomoedas + corretagem de credenciais

A correlação de inteligência de código aberto (OSINT) identificou o ator RedlineCyber anunciando credenciais roubadas no mercado BreachStars em outubro de 2025, oferecendo mais de 4.200 credenciais de login do LinkedIn coletadas de usuários nos Estados Unidos, Reino Unido, Austrália e Nova Zelândia. Essa atividade paralela sugere uma operação criminosa diversificada que combina roubo de criptomoedas em tempo real com roubo e revenda de credenciais tradicionais.

A escolha do ator de se passar por “RedLine Solutions”, imitando a famosa família de malware RedLine Stealer, serve a vários propósitos estratégicos:

• Estabelece credibilidade imediata em comunidades clandestinas familiarizadas com a RedLine
• Cria confusão durante os esforços de análise e atribuição
• Permite que o ator se beneficie da reputação de uma família de malware mais sofisticada
• Reduz a suspeita inicial ao distribuir a carga útil para alvos tecnicamente experientes

No entanto, a análise técnica confirma que esse malware não é uma variante da família legítima do RedLine Stealer. O malware RedLine autêntico é escrito em C# (.NET), apresenta amplos recursos de roubo de informações e opera com infraestrutura de comando e controle. Por outro lado, o malware do RedlineCyber é baseado em Python, carece de comunicação de rede e se concentra exclusivamente na manipulação da área de transferência.

Análise técnica e engenharia reversa de malware

Aquisição de amostras e avaliação inicial

Informações da amostra primária:

• Nome do arquivo: Pro.exe (distribuição alternativa: peeek.exe)
• Tamanho do arquivo: ~7,8 MB
• SHA-256: 0d6e83e240e41013a5ab6dfd847c689447755e8b162215866d7390c793694dc6
• Taxa de detecção: 34/69 fornecedores de antivírus (VirusTotal)
• Classificação primária: Trojan.ClipBanker/Trojan-Banker.Win32.ClipBanker

Análise estática: identificação da estrutura do PyInstaller

O exame inicial usando utilitários padrão de extração de strings revelou artefatos distintos que indicam o empacotamento do PyInstaller:

‍

Esses indicadores confirmaram que o executável é um arquivo único PyInstaller pacote incorporando um ambiente de execução Python completo e bytecode compilado. O PyInstaller é uma ferramenta legítima comumente usada para empacotar aplicativos Python para distribuição em sistemas sem o Python instalado, mas é frequentemente usada por autores de malware devido à sua capacidade de ofuscar o código-fonte do Python e agrupar dependências.

• Versão Python: 3.13 (versão recente, indicando desenvolvimento ativo)
• Técnicas de codificação: Cadeias de caracteres codificadas em Base64 contendo padrões regex e dados de configuração
• Indicadores de persistência: Referências principais do Registro do Windows para a funcionalidade de inicialização automática
• Referências da API Clipboard: importações da função win32clipboard

Processo de descompactação e descompilação

Etapa 1: Extração de arquivos do PyInstaller

Usando o pyinstxtractor.py ferramenta, a equipe de pesquisa extraiu o arquivo incorporado do PyInstaller, produzindo aproximadamente 100 componentes individuais:

Etapa 2: desofuscação de bytecode

O arquivo clipboard_guard_obfuscated.pyc extraído foi descompilado usando o pychaos.io serviço de desofuscação. Esse processo converteu o bytecode Python ofuscado de volta em código-fonte legível, revelando a lógica operacional completa do malware.

A análise priorizou arquivos com padrões de nomenclatura suspeitos, excluindo módulos de biblioteca padrão benignos (por exemplo, calendar.pyc, email.pyc) e componentes de infraestrutura do PyInstaller.

Análise comportamental de malware

Fase 1: Inicialização e estabelecimento de persistência

Após a execução, o malware executa a seguinte sequência de inicialização:

1. Registro de inicialização: cria a entrada de registro: “CryptoClipboardGuard foi iniciado”.
2. Criação de diretório: estabelece %APPDATA%\ CryptoClipboardGuard\ se não estiver presente
3. Persistência do registro: grava a entrada de inicialização automática no Registro do Windows:
   
   1. Chave: HKCU\ Software\ Microsoft\ Windows\ Versão atual\ Executar
   2. Nome do valor: CryptoClipboardGuard
   3. Dados de valor: Caminho completo para o executável do malware

‍

Esse mecanismo de persistência garante que o malware seja executado automaticamente em cada inicialização do sistema, mantendo o monitoramento contínuo da área de transferência sem exigir a interação do usuário.

Fase 2: Monitoramento contínuo da prancheta

O malware entra em um loop infinito implementando o seguinte ciclo de monitoramento:

Faça um loop a cada 300 milissegundos:

• Abra a área de transferência (Win32Clipboard.openClipboard ())
• Leia o conteúdo atual da área de transferência (getClipboardData (CF_TEXT))
• Decodifique os dados da área de transferência (UTF-8) e compare com o estado anterior da área de transferência
• Se o conteúdo foi alterado: Prossiga para a fase de detecção

‍

O intervalo de pesquisa de 300 milissegundos (aproximadamente 3 verificações por segundo) fornece detecção quase em tempo real, mantendo a baixa utilização da CPU para evitar a detecção por meio do monitoramento de desempenho.

Fase 3: Detecção de endereço de criptomoeda

Quando um novo conteúdo da área de transferência é detectado, o malware aplica expressões regulares codificadas em base64 para identificar endereços de carteiras de criptomoedas. O malware suporta seis formatos de criptomoedas

O uso da codificação base64 para padrões regex serve como uma técnica básica de ofuscação para complicar a análise estática e reduzir a detecção baseada em assinaturas.

‍

Fase 4: Sequestro e registro de pranchetas

Após a detecção bem-sucedida do endereço da carteira, o malware executa o ataque de substituição:

1. Substituição de endereço: Substitui a área de transferência pelo endereço de carteira correspondente controlado pelo atacante
2. Atualização da prancheta: Usa Win32Clipboard.setClipboardText () para modificar o conteúdo da área de transferência
3. Registro de atividades: Anexa a transação a %APPDATA%\ CryptoClipboardGuard\ activity.log:

[YYYY-MM-DD HH:MM:SS] Endereço criptográfico substituído: [original_victim_address] -> [attacker_address]

Esse mecanismo de registro serve a vários propósitos:

• Permite que o agente da ameaça rastreie infecções bem-sucedidas
• Fornece dados de atribuição para vítimas comprometidas
• Permite que o ator monitore a eficácia do roubo e os volumes de transações
• Cria evidências forenses que podem ser recuperadas durante a resposta a incidentes

Técnicas de evasão e mecanismos antidetecção

O malware implementa várias características que reduzem seu perfil de detecção:

1. Sem comunicação de rede: Ao contrário do malware tradicional, esse clipper opera totalmente offline, sem infraestrutura de comando e controle (C2). Isso elimina os vetores de detecção baseados na rede e reduz a pegada geral do malware nos registros de segurança.

2. Pegada mínima do sistema: A funcionalidade focada do malware resulta em uma utilização extremamente baixa da CPU e da memória. Durante a operação normal, ele consome recursos mínimos do sistema, tornando improvável que acione alertas de segurança baseados em desempenho.

3. Sem interface gráfica ou interação do usuário: O malware opera silenciosamente em segundo plano, sem exibir janelas, diálogos ou notificações. As vítimas permanecem completamente inconscientes de sua presença até que ocorra um roubo financeiro.

4. Janela de operação direcionada: O malware visa especificamente a janela estreita entre o momento em que um usuário copia um endereço de criptomoeda e o momento em que o cola em um campo de transação. Esse tempo torna a detecção manual quase impossível durante as operações normais.

5. Estratégia de marca falsa: Ao se disfarçar de “RedLine”, o malware se beneficia da atribuição incorreta. As equipes de segurança podem classificá-lo incorretamente como uma variante da bem documentada família RedLine Stealer, potencialmente aplicando regras de detecção inadequadas ou subestimando suas capacidades específicas.

Indicadores de compromisso (IOCs)

Indicadores de rede

Nota: Essa variante de malware opera sem conectividade de rede. Nenhuma infraestrutura C2, consultas de DNS ou comunicações externas foram observadas durante a análise.

Indicadores de carteira de criptomoedas

Crítico: Bloqueie esses endereços de carteira no nível organizacional sempre que possível

‍

Classificação entre fornecedores de segurança

Vários mecanismos antivírus classificam essa família de malware sob várias convenções de nomenclatura:

• Classificações genéricas: Trojan.ClipBanker, Trojan-Banker.Win32.ClipBanker
• Alibaba: Trojan.psw.win32.coins.75e4c0cf
• Avira: TR/ava.agent.vfeja
• CrowdStrike: ganhe/confiança_maliciosa_ 100%
• Kaspersky: Trojan-Banker.Win32.ClipBanker
• BitDefender: Trojan.ClipBanker

Mapeamento da estrutura MITRE ATT&CK

Compreender as táticas, técnicas e procedimentos do adversário por meio da estrutura MITRE ATT&CK permite que as equipes de segurança implementem estratégias direcionadas de detecção e prevenção.

Oportunidades de detecção e caça

Com base nos TTPs identificados, as equipes de segurança podem implementar as seguintes estratégias de detecção:

1. Monitoramento de registro (T1547.001):

• Monitore as novas adições de chaves do Registry Run:
• HKCU\ Software\ Microsoft\ Windows\ Versão atual\ Executar\ *
• Filtro: caminhos executáveis inesperados, especialmente em %APPDATA%

2. Monitoramento da API Clipboard (T1115):

• Monitore os processos que fazem chamadas repetidas para:
  
  • Área de transferência aberta ()
  • Obter dados da área de transferência ()
  • Definir texto da área de transferência ()
• A pesquisa de alta frequência (várias vezes por segundo) indica uma possível atividade do clipper

3. Análise do comportamento do processo:

• Identifique os processos que exibem:
  
  • Monitoramento persistente da área de transferência sem interface de usuário legítima
  • Criação de diretórios de registro em %APPDATA%
  • Padrões de compilação Regex que correspondem a formatos de endereço de criptomoeda

Regras de detecção e consultas de caça

Regra YARA para Clippers baseados em PyInstaller:

Regra Sigma para detecção de persistência de registro:

Previsões de ameaças futuras

‍

Com base nessa análise, a Threat Intel da CloudSEK avalia com confiança moderada que:

• O malware de sequestro do Clipboard direcionado a usuários de criptomoedas continuará proliferando devido às baixas barreiras técnicas e à alta lucratividade
• A engenharia social por meio de comunidades de jogos e streaming continuará sendo o principal vetor de distribuição
• Os agentes de ameaças adotarão cada vez mais táticas de falsa bandeira, imitando famílias de malware estabelecidas para complicar a atribuição e a análise
• A ausência de infraestrutura C2 em projetos de malware se tornará mais comum à medida que os atores priorizarem a evasão em detrimento dos recursos avançados

As organizações que operam nos setores de criptomoedas, jogos e streaming devem priorizar estratégias de defesa aprofundada, combinando controles técnicos, educação do usuário e integração de inteligência de ameaças para mitigar com eficácia esse cenário de ameaças em evolução

‍

Referências

• https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability 
• https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• https://www.bleepingcomputer.com/news/security/new-clipboard-hijacker-replaces-crypto-wallet-addresses-with-lookalikes/ 
• https://dailysecurityreview.com/security-spotlight/massjacker-malware-clipboard-hijacking-malware-tartgets-778000-cryptowallets/ 
• https://www.darkreading.com/application-security/clipminer-malware-actors-steal-17-million-clipboard-hijacking 

‍

Apêndice

‍

‍

‍

‍

‍

‍