Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / PT BR / 100K RETURNED MALVERTISING

US$ 100 mil devolvidos: golpe cripto de malvertising desmantelado

The Enablers Registry·Editorial mirror·/pt-br/100k-returned-malvertising

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Investigação • 5 a 7 minutos de leitura

US$ 100 mil devolvidos — golpe de malvertising frustrado

Golpistas russos se passaram por um projeto de criptomoedas por meio de publicidade maliciosa e malware do tipo “stealer”. Detectamos a operação, restauramos o acesso às carteiras e devolvemos mais de US$ 100 mil. Os fundos recuperados excedentes foram doados à @_SEAL_Org. Abaixo: detalhamento, IOCs e lições aprendidas.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
Publicado originalmente em Médio — THE ENABLERS REGISTRY

Visão geral

Um projeto de criptomoeda foi vítima de um ataque de engenharia social disfarçado de parceria publicitária legítima. O THE ENABLERS REGISTRY restaurou o acesso à carteira e recuperou mais de US$ 100.000 em fundos comprometidos e, em seguida, redirecionou a recompensa oferecida para uma organização externa a fim de manter a independência.

O que você precisa saber

  • A carteira já havia sido invadida; os fundos já haviam sido transferidos.
  • O acesso foi restabelecido e $100K+ foi impedido de permanecer com o agressor.
  • O projeto ofereceu uma recompensa, que foi recusada e redirecionada para @_SEAL_Org em vez disso.
  • Este trabalho é realizado de forma independente, como iniciativa própria, e não como emprego remunerado.

Como funcionava o golpe

  • A vítima recebeu uma proposta de parceria/publicidade para um jogo de criptomoedas.
  • O ataque parecia convincente: site profissional, presença consolidada no X (Twitter), videochamadas que pareciam legítimas.
  • Durante as ligações, os invasores solicitavam a instalação de um “visualizador do local de trabalho” para acessar os materiais.
  • O “visualizador” era malware ladrão.
  • Os invasores retiraram fundos, trocaram tokens entre cadeias e transferiram ativos para suas próprias carteiras.

Medidas de resposta adotadas

  1. Confirmou-se a invasão e interrompeu-se qualquer movimento posterior.
  2. Restabelecemos o acesso à carteira para o proprietário legítimo.
  3. O controle da carteira receptora do invasor foi protegido e repassado à equipe da vítima.
  4. Medidas de acompanhamento coordenadas para reduzir o risco residual.
Resultado: Acesso restabelecido, controle recuperado, invasor bloqueado.

Reforço de segurança pós-incidente

Segurança do dispositivo

  • Orientação passo a passo para lidar com dispositivos infectados com segurança
  • Isolamento de rede, revogação de sessões, rotação de credenciais/chaves, plano de reconstrução completa

Configuração operacional

  • Estação de trabalho nova e organizada, dedicada às operações com carteiras
  • Sistema operacional recém-instalado, downloads exclusivos do fabricante, carteira de hardware, número mínimo de extensões, perfil separado no navegador, autenticação de dois fatores (2FA)

Preparação para a área forense

  • Orientações sobre instantâneos de disco e coleta de logs do sistema e de aplicativos
  • Preservação de provas para uma possível investigação judicial

Entendendo o conceito de “desvio”

Publicidade trata-se de uma forma de engenharia social no âmbito empresarial, na qual os criminosos imitam fluxos de trabalho normais (compras de anúncios, parcerias, relações públicas) para induzir a instalação de “clientes” maliciosos.

Sinais de alerta comuns:

  • "Instale nosso gerenciador/auxiliar de anúncios para sincronizar os criativos"
  • "Use nosso cliente personalizado do Zoom/[REDACTED] para a chamada"
  • "Acesse nosso kit de mídia/NDA por meio de um visualizador seguro"
Regra fundamental: Se um fluxo de trabalho proveniente de fontes desconhecidas exigir um cliente/visualizador/programa de atualização específico, presuma que se trata de uma ameaça por padrão. Utilize apenas downloads oficiais dos fornecedores.

A Recompensa e a Independência

  • O projeto ofereceu uma recompensa porque o valor recuperado superou a perda inicial.
  • THE ENABLERS REGISTRY recusou-se a ficar com a recompensa.
  • Todo o excedente foi destinado a @_SEAL_Org.
  • Isso garante a independência — sem fontes de financiamento nem obrigações.

Princípios Fundamentais

  • Apenas independência — sem orçamentos nem condições.
  • Abordagem voltada para resultados, em vez de discussão.
  • Oposição a quaisquer “clientes especiais” ou softwares não verificados.
  • Divulgação seletiva que ajuda as vítimas, e não os autores das ameaças.
  • Pressão direta sobre a infraestrutura do invasor.

Recomendações práticas

Para projetos e equipes

  • Nunca instale visualizadores, clientes ou programas de atualização de aplicativos de trabalho provenientes de terceiros não verificados.
  • Baixe o Zoom e o [REDACTED] apenas nos sites oficiais dos fornecedores.
  • Evite links patrocinados relacionados a carteiras, pontes e airdrops.
  • Dê preferência a carteiras de hardware com armazenamento offline da semente.
  • Em caso de violação: revogue as sessões, transfira os fundos, faça a rotação das chaves, reemita os segredos e procure ajuda imediatamente.

Pela Comunidade

Conclusão

Apesar de os fundos já terem sido transferidos, THE ENABLERS REGISTRY acesso restabelecido e garantiu que o invasor não pudesse ficar com os ativos roubados. Ao recusar a recompensa e destinar os fundos excedentes a outras finalidades, a organização mantém seu modelo operacional independente e sem remuneração, focado na resposta rápida e eficaz a incidentes.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

Compartilhe esta investigação

Investigações relacionadas

INVESTIGAÇÃO APROFUNDADA
Anatomia do possibly phishing de criptomoedas: análise de 8 programas reais de roubo de frases-semente
INVESTIGAÇÃO
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
INVESTIGAÇÃO
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end de golpes

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings