Os pesquisadores da Kaspersky Lab identificaram recentemente um grupo de criminosos virtuais com técnicas de APTs em seu arsenal de ferramentas para infectar usuários com mineradores. Eles têm empregado o método de esvaziamento de processos (“process-hollowing”), normalmente utilizado em malware e já observado em alguns ataques direcionados de agentes de APTs, mas nunca em ataques de mineração.
Com base nas observações da Kaspersky, os agentes por trás desses ataques mineraram electroneums e ganharam quase US$ 7 milhões durante o segundo semestre de 2017, uma quantia semelhante às somas que os criadores de ransomware costumavam ganhar ilicitamente.
Funcionamento do ataque
A vítima é enganada a baixar e instalar um software de publicidade que contém o instalador do minerador oculto. Esse instalador traz um utilitário legítimo do Windows cuja finalidade principal é baixar o próprio minerador de um servidor remoto. Após sua execução, um processo legítimo do sistema é iniciado, e o código legítimo desse processo é alterado para o código malicioso.
Como resultado, o minerador opera sob o pretexto de uma tarefa legítima, sendo impossível para o usuário reconhecer se há uma infecção de mineração. Também é um desafio para as soluções de segurança detectarem essa ameaça. Além disso, os mineradores marcam esse novo processo de modo a restringir o cancelamento de qualquer tarefa. Se o usuário tentar interromper o processo, o sistema do computador será reiniciado. Assim, os criminosos asseguram sua presença no sistema por um tempo mais longo e mais produtivo.
….
“Observamos que o ransomware está desaparecendo no segundo plano, ao mesmo tempo em que dá lugar aos mineradores. Isso é confirmado pelas nossas estatísticas, que mostram um crescimento constante dos mineradores durante todo o ano, assim como o fato de que grupos de criminosos virtuais estão desenvolvendo seus métodos ativamente e já começaram a usar técnicas mais sofisticadas para propagar software de mineração. Nós já vimos uma evolução como essa; os hackers de ransomware usavam os mesmos truques quando estavam em ascensão”, declarou Anton Ivanov, analista chefe de malware da Kaspersky Lab.
Panorama dos ataques por malwares de mineração
Segundo os dados da Kaspersky Lab, no total, 2,7 milhões de usuários foram atacados por mineradores mal-intencionados em 2017. Esse número é aproximadamente 50% maior que o de 2016 (1,87 milhão). Eles se tornaram vítimas por causa de adware, jogos e software pirateados usados pelos criminosos virtuais para infectar computadores secretamente. Outra abordagem usada foi a mineração na Web, por meio de um código especial localizado em uma página da Web infectada. O minerador da Web mais usado foi o CoinHive, detectado em muitos sites populares. Leia o nosso artigo sobre o tema.
Como se proteger?
Para ficar protegido, a Kaspersky Lab recomenda aos usuários:
– Não clique em sites desconhecidos ou em banners e anúncios suspeitos;
– Não baixe e instale arquivos desconhecidas de fontes não confiáveis;
– Instale uma solução de segurança confiável
Para as organizações, a Kaspersky Lab recomenda:
– Realizar auditorias de segurança periódicas
– Quando possível, instalar uma solução de segurança em todas as estações de trabalho e todos os servidores, e a mantenha sempre atualizada.
Siga o Hardware.com.br no Instagram
Veja também
Sobre o Autor
Deixe seu comentário