A Coinbase, uma das maiores plataformas mundiais de negociação de criptomoedas, confirmou ter sido alvo de um ataque informático com fuga de dados e tentativa de extorsão. O incidente, que comprometeu informações sensíveis de colaboradores, incluindo credenciais de acesso, foi rapidamente mitigado, mas serviu para evidenciar a crescente sofisticação dos cibercriminosos que atuam neste setor.

Segundo o comunicado oficial da empresa, o grupo atacante exigiu 20 milhões de dólares em troca do silêncio e prometeu divulgar os dados roubados caso o resgate não fosse pago — uma abordagem típica de esquemas de dupla extorsão, cada vez mais comuns no panorama digital.

“Este caso demonstra como até as maiores plataformas cripto, com estruturas de segurança robustas, estão vulneráveis a campanhas bem coordenadas,” afirma Eli Smadja, Group Manager da Check Point Software.

“É uma nova era de cibercrime organizado, com estruturas altamente profissionalizadas, modelos de negócio como serviço e redes de afiliados internacionais.”

Uma tendência que se alarga: o regresso do Inferno Drainer

Uma análise publicada pela Check Point Research (CPR), equipa de investigadores da Check Point Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, reforça que este tipo de ataque não é um caso isolado. Recentemente, a equipa identificou o regresso do Inferno Drainer, um dos mais furtivos esquemas de Drainer-as-a-Service (DaaS), que nos últimos seis meses drenou mais de 9 milhões de dólares em ativos digitais de mais de 30.000 carteiras.

Este modelo de negócio ilícito permite que afiliados aluguem kits de ataque completos — com páginas de phishing, scripts automatizados e suporte técnico — para executar fraudes em larga escala. A nova versão do Inferno Drainer recorre a técnicas avançadas, como: 

• Configuração C&C (command-and-control) encriptada armazenada on-chain, na Binance Smart Chain.
• Smart contracts de uso único, que se autodestroem após uma transação, dificultando a deteção e o blacklisting.
• Proxies seguros e técnicas de evasão baseadas em OAuth2, que iludem navegadores, carteiras e motores de deteção.
• Encriptação AES de múltiplas camadas e forte ofuscação, para esconder a lógica maliciosa de analistas e investigadores.

O modus operandi envolve muitas vezes falsas verificações em plataformas como Discord, imitação de bots como o Collab.Land e simulação de interfaces legítimas para levar os utilizadores a autorizar transações maliciosas.

Porque este tipo de ataque deve preocupar todos

Embora os casos mais visíveis ocorram em grandes plataformas como a Coinbase, os atacantes visam também investidores individuais, utilizadores de aplicações descentralizadas, e qualquer pessoa que utilize carteiras digitais com frequência.

A Check Point alerta ainda que há uma crescente tentativa de explorar emocionalmente o utilizador, com mensagens fraudulentas que simulam promoções, airdrops, atualizações de segurança ou urgências de verificação.

“Estamos a assistir à fusão entre a engenharia social clássica e ferramentas tecnológicas altamente evasivas. O resultado são fraudes que imitam com grande precisão os canais de comunicação legítimos de marcas cripto e plataformas de trading,” afirmou Muhammad Yahya Patel, Lead Security Engineer da Check Point Software.

Como proteger-se neste novo cenário?

• Evite clicar em links em e-mails, SMS ou mensagens em redes sociais que aparentem ser de marcas cripto. Aceda sempre ao site oficial pelo navegador.
• Utilize carteiras temporárias para interagir com plataformas novas ou pouco testadas.
• Verifique cada pedido de transação com atenção: se não compreender o que está a autorizar, não assine.
• Desconfie de promoções ou ofertas urgentes, que são táticas comuns para gerar cliques e comprometer carteiras.
• Implemente soluções de cibersegurança com inteligência de ameaças em tempo real, como Harmony Browse e Quantum Gateway.

Os clientes da Check Point estão protegidos contra esta ameaça através de soluções como Quantum Gateway, Harmony Endpoint e ThreatCloud AI, que já detetam variantes identificadas como Inferno.TC.* e Trojan.UNKNOWN.InfernoDrainer.A.