A Check Point Research (CPR) descobre uma campanha ativa de mineração de criptomoedas imitando o Google Translate Desktop e outros softwares gratuitos para infectar PCs; os cibercriminosos podem facilmente mudar o malware, alterando-o de um minerador de criptomoedas para ransomware ou cavalos de Troia bancários
A
Check Point Research (CPR), divisão de Inteligência em Ameaças da Check
Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de
soluções de cibersegurança global, descobriu uma
campanha de malware de mineração de criptomoedas imitando o Google Translate
Desktop e outros aplicativos gratuitos para infectar PCs.
Criada
por uma entidade de idioma turco chamada Nitrokod, a campanha de malware
contabiliza 111 mil downloads em 11 países desde 2019 (vítimas no Reino Unido,
nos Estados Unidos, Sri Lanka, Grécia, Israel, Alemanha, Turquia, Chipre,
Austrália, Mongólia e Polônia). Os atacantes atrasam o processo de infecção por
semanas para evitar a detecção. A CPR alerta que os cibercriminosos podem
facilmente optar por mudar o malware, alterando-o de um minerador de
criptomoedas para ransomware ou cavalos de Troia bancários, por exemplo.
A
campanha coloca o malware em softwares gratuitos disponíveis em sites populares
como o Softpedia e uptodown. E os softwares maliciosos também podem ser
facilmente encontrados por meio do Google quando os usuários pesquisam por
“download do Google Translate Desktop”. Após a instalação inicial do software,
os atacantes retardam o processo de infecção por semanas, excluindo os rastros
da instalação original.
Figura 1. Principais resultados para "download do Google Translate Desktop"
Sem ser
detectado durante anos
A campanha
operou com sucesso sob o radar por anos. Para evitar a detecção, os autores da
Nitrokod implementaram algumas estratégias importantes:
• O malware
é executado pela primeira vez quase um mês após a instalação do programa
Nitrokod.
• O malware
é entregue após seis estágios iniciais de programas infectados.
• A cadeia
de infecção continua após um longo atraso usando um mecanismo de tarefas programadas,
dando aos atacantes tempo para limpar todas as evidências.
Cadeia de
infecção
1. A
infecção começa com a instalação de um programa infectado baixado da Web.
2. Assim
que o usuário iniciar o novo software, um aplicativo de imitação do Google
Translate é instalado. Além disso, um arquivo de atualização é baixado no disco
que inicia uma série de quatro droppers (subtipo de malware que tem como
propósito “liberar” outro arquivo executável malicioso) até que o malware
seja lançado.
3. Depois
que o malware é executado, o mesmo se conecta ao seu servidor C&C (Comando
e Controle) para obter uma configuração para o minerador de criptomoedas XMRig
e inicia a atividade de mineração.
Figura 2. Mapa da Cadeia de Infecções
“Descobrimos um site popular que oferece versões maliciosas por meio de imitações de aplicativos para PC, incluindo Google Desktop e outros, que contém um minerador de criptomoedas. As ferramentas maliciosas podem ser usadas por qualquer pessoa, e podem ser encontradas por uma simples pesquisa na web, baixados a partir de um link e a instalação é feita com um simples duplo clique. Sabemos que as ferramentas são construídas por um desenvolvedor que fala o idioma turco", explica Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
“Atualmente,
a ameaça que identificamos foi a instalação inconsciente de um minerador de
criptomoedas, que rouba recursos do computador e os aproveita para que o
atacante monetize. Ao adotar o mesmo fluxo de ataque, o cibercriminoso pode
facilmente optar por modificar a carga útil final do ataque, alterando o
malware de um minerador de criptomoedas para um ransomware ou um cavalo de
Troia bancário. O mais interessante para mim é o fato de que o software
malicioso é tão popular, mas ficou fora do radar por tanto tempo. Bloqueamos a
ameaça para os clientes da Check Point Software e estamos divulgando essa
descoberta da CPR para que outros usuários corporativos e finais também possam
ser protegidos”, destaca Maya Horowitz.
Principais
orientações de cibersegurança:
• Ter
cuidado com domínios semelhantes, erros de ortografia em sites e remetentes de
e-mail desconhecidos.
• Fazer
download de software apenas de editores e fornecedores autorizados e
conhecidos.
• Evitar
ataques de dia zero com uma arquitetura cibernética holística de ponta a ponta.
•
Certificar-se de que a segurança dos endpoints esteja atualizada e forneça
proteção abrangente.
Check
Point Research
Check
Point
Nenhum comentário:
Postar um comentário