Cibercriminosos estão utilizando falsos alertas de atualização de software para distribuir o malware CoinLurker, um stealer avançado escrito em Go, que emprega técnicas sofisticadas de ofuscação e anti-análise. O CoinLurker tem como alvo informações valiosas, como credenciais de aplicativos populares e dados de carteiras de criptomoedas, incluindo Bitcoin, Ethereum, Ledger Live e Exodus.

As campanhas de infecção se aproveitam de diversos pontos de entrada fraudulentos. Entre eles, estão notificações falsas de atualização em sites comprometidos, redirecionamentos de malvertising, e-mails de phishing com links para páginas falsas de atualização, prompts CAPTCHA enganosos, downloads diretos de sites infectados e links compartilhados por redes sociais e aplicativos de mensagens. Independentemente do ponto de origem, todos os ataques utilizam o WebView2 do Microsoft Edge para executar o payload do malware, dificultando a detecção.

O uso do WebView2 complica a análise, pois ele depende de componentes já instalados e da interação do usuário, o que impede que ferramentas de sandbox ou análise dinâmica detectem o malware. Uma tática avançada utilizada é o EtherHiding, que injeta scripts nos sites comprometidos para acessar a infraestrutura Web3 e buscar o payload em repositórios Bitbucket disfarçados de programas legítimos, como “UpdateMe.exe” ou “SecurityPatch.exe”. Esses executáveis são assinados com certificados legítimos, mas roubados, o que os torna difíceis de identificar como maliciosos.

Após a infecção, o CoinLurker se comunica com servidores remotos e começa a coletar dados de diretórios específicos, como carteiras de criptomoedas e credenciais de serviços como Telegram e Discord. Sua versatilidade e capacidade de atacar tanto carteiras populares quanto obscurecidas fazem dele uma ameaça significativa no ecossistema de criptomoedas.