Desde novembro de 2021, os cibercriminosos têm explorado uma utilidade do Windows para distribuir malware de mineração de criptomoedas, como detalhado em um relatório da Talos Intelligence da Cisco. Os criminosos manipulam o Windows Advanced Installer, um programa que auxilia os desenvolvedores de software a empacotar outros instaladores de software, como o Adobe Illustrator, para executar scripts maliciosos em sistemas comprometidos.
O Software Alvo e as Vítimas
Os instaladores de software afetados por esse ataque são principalmente usados para modelagem 3D e design gráfico. A maioria dos instaladores de software utilizados nessa campanha de malware é escrita em francês, o que indica que as vítimas provavelmente são de vários setores de negócios, como arquitetura, engenharia, construção, manufatura e entretenimento em países de língua francesa. A análise sugere que os usuários da França e da Suíça são os mais afetados, com alguns casos em outros países, incluindo Estados Unidos, Canadá, Argélia, Suécia, Alemanha, Tunísia, Madagascar, Singapura e Vietnã.
O Modus Operandi
A operação de mineração de criptomoedas identificada pela Talos implanta scripts maliciosos do PowerShell e do Windows batch para executar comandos e estabelecer uma porta dos fundos na máquina da vítima. O PowerShell, em particular, é conhecido por operar na memória do sistema em vez do disco rígido, o que torna mais difícil detectar um ataque.
Após a instalação da porta dos fundos, o atacante lança ameaças adicionais, como o programa de mineração de criptomoedas Ethereum PhoenixMiner e o lolMiner, uma ameaça de mineração de várias moedas. Esses scripts maliciosos são executados usando o recurso de Ação Personalizada do Advanced Installer, que permite aos usuários pré-definir tarefas personalizadas de instalação. As cargas finais são o PhoenixMiner e o lolMiner, que são mineradores publicamente disponíveis que exploram as capacidades de GPU dos computadores.
O Fenômeno do Cryptojacking
O uso de malware de mineração de criptomoedas é chamado de cryptojacking. Isso envolve a instalação secreta de um código de mineração de criptomoedas em um dispositivo sem o consentimento do usuário para minerar criptomoedas ilicitamente. Indicações de que um malware de mineração pode estar operando em um dispositivo incluem superaquecimento e mau desempenho do dispositivo. A prática de usar famílias de malware para sequestrar dispositivos e minerar ou roubar criptomoedas não é novidade. A BlackBerry, a antiga gigante dos smartphones, recentemente descobriu scripts de malware que visam ativamente pelo menos três setores, incluindo serviços financeiros, saúde e governo.
Diante dessas ameaças emergentes, é crucial se manter informado e tomar medidas preventivas. Uma maneira de fazer isso é usar plataformas como cryptoview.io, que fornecem informações valiosas sobre o mercado de criptomoedas e podem ajudar os usuários a se manterem atualizados sobre riscos potenciais.
Comece agora a usar nossas ferramentas gratuitamente.Lembre-se, o mundo digital está cheio de ameaças potenciais. Mantenha-se vigilante, informado e, o mais importante, seguro.
