De acordo com a Cointelegraph, um novo tipo de malware de cryptojacking conhecido como MassJacker está mirando usuários que baixam software pirateado, sequestrando transações de criptomoedas ao substituir endereços armazenados. O malware se origina do site pesktop[dot]com, onde usuários desavisados podem inadvertidamente infectar seus dispositivos. Uma vez instalado, o MassJacker troca endereços de criptomoeda armazenados no aplicativo de área de transferência por aqueles controlados pelo atacante.
A CyberArk relata que 778.531 carteiras únicas estão ligadas ao roubo, embora apenas 423 carteiras tenham mantido ativos em criptomoeda a qualquer momento. O valor total de criptomoedas armazenadas ou transferidas dessas carteiras era aproximadamente $336.700 em agosto. No entanto, a extensão real do roubo pode variar. Uma carteira, em particular, estava ativa, contendo mais de 600 Solana (SOL) avaliados em cerca de $87.000. Essa carteira também tinha um histórico de manter tokens não fungíveis (NFTs) como Gorilla Reborn e Susanoo. Uma análise da carteira no explorador de blockchain da Solana, Solscan, revelou 1.184 transações datadas de 11 de março de 2022. O proprietário da carteira participou de atividades de finanças descentralizadas em novembro de 2024, trocando tokens como Jupiter (JUP), Uniswap (UNI), USDC (USDC) e Raydium (RAY).
Malware de criptomoedas não é um fenômeno novo. Desde o lançamento do primeiro script de cryptojacking disponível publicamente pela Coinhive em 2017, os atacantes têm mirado uma variedade de dispositivos em diferentes sistemas operacionais. Em fevereiro de 2025, os Laboratórios Kaspersky identificaram malware de criptomoedas em kits de criação de aplicativos para Android e iOS, capazes de escanear imagens em busca de frases-semente de criptomoedas. Em outubro de 2024, a empresa de cibersegurança Checkmarx descobriu malware que rouba criptomoedas em um Índice de Pacotes Python, uma plataforma para desenvolvedores compartilharem código. Outros malwares miraram dispositivos macOS.
Os atacantes estão empregando métodos cada vez mais sofisticados para distribuir malware. Um desses métodos envolve um golpe de emprego falso, onde as vítimas são recrutadas sob a aparência de uma oferta de emprego. Durante uma entrevista virtual, o atacante instrui a vítima a "consertar" problemas de acesso ao microfone ou à câmera, o que instala o malware, permitindo que ele esvazie a carteira de criptomoedas da vítima. O ataque "clipper", que altera endereços de criptomoedas copiados para a área de transferência, é menos conhecido do que ransomware ou malware que rouba informações, mas oferece vantagens para os atacantes devido à sua operação discreta e à capacidade de passar despercebido em ambientes de sandbox, como observado pela CyberArk.
