merlin_131428154_39e28f90-db01-48d2-9d68-c2b118dc8d10-master768
Imagem: reprodução

Segundo um estudo feito por pesquisadores da Kaspersky Lab, criminosos virtuais começaram a usar técnicas e métodos sofisticados de infecção, copiados de ataques direcionados, para instalar softwares de mineração de criptomoedas em computadores corporativos. O grupo mais bem-sucedido observado pela Kaspersky Lab chegou a ganhar pelo menos US$ 7 milhões, ou R$ 22,5 milhões, explorando suas vítimas em apenas seis meses de 2017.

Embora o mercado das criptomoedas passe por muitos altos e baixos, o fenômeno ocorrido no ano passado, com picos no valor do Bitcoin, mudou significativamente não apenas a economia mundial, mas também o universo da cibersegurança. Para ganhar valores em criptomoedas, os criminosos começaram a usar softwares de mineração em seus ataques que, como o ransomware, tem um modelo de monetização simples.

Porém, diferentemente do ransomware, eles não prejudicam os usuários de maneira destrutiva e conseguem ficar no computador por muito tempo sem serem detectados, usando sua capacidade de processamento silenciosamente. Voltando a setembro de 2017, a Kaspersky Lab registrou um aumento dos mineradores que começaram a se propagar ativamente em todo o mundo e previu seu desenvolvimento adicional. A pesquisa mais recente revela que esse crescimento não só continuou, como aumentou e ampliou.

Os pesquisadores da Kaspersky Lab identificaram recentemente um grupo de criminosos virtuais com técnicas de APTs em seu arsenal de ferramentas para infectar usuários com mineradores. Eles têm empregado o método de esvaziamento de processos (“process-hollowing”), normalmente utilizado em malware e já observado em alguns ataques direcionados de agentes de APTs, mas nunca em ataques de mineração.

O ataque funciona da seguinte maneira: a vítima é enganada a baixar e instalar um software de publicidade que contém o instalador do minerador oculto. Esse instalador traz um utilitário legítimo do Windows cuja finalidade principal é baixar o próprio minerador de um servidor remoto. Após sua execução, um processo legítimo do sistema é iniciado e o código legítimo desse processo é alterado para o código malicioso.

Como resultado, o minerador opera sob o pretexto de uma tarefa legítima, sendo impossível para o usuário reconhecer se há uma infecção de mineração. Também é um desafio para as soluções de segurança detectarem essa ameaça. Além disso, os mineradores marcam esse novo processo de modo a restringir o cancelamento de qualquer tarefa. Se o usuário tentar interromper o processo, o sistema do computador será reiniciado. Assim, os criminosos asseguram sua presença no sistema por um tempo mais longo e mais produtivo.

Com base nas observações da Kaspersky Lab, os agentes por trás desses ataques mineraram electroneums e ganharam quase US$ 7 milhões, ou R$ 22,5 milhões, durante o segundo semestre de 2017, uma quantia semelhante às somas que os criadores de ransomware costumavam ganhar ilicitamente.

“Observamos que o ransomware está desaparecendo no segundo plano, ao mesmo tempo em que dá lugar aos mineradores. Isso é confirmado pelas nossas estatísticas, que mostram um crescimento constante dos mineradores durante todo o ano, assim como o fato de que grupos de criminosos virtuais estão desenvolvendo seus métodos ativamente e já começaram a usar técnicas mais sofisticadas para propagar software de mineração. Nós já vimos uma evolução como essa; os hackers de ransomware usavam os mesmos truques quando estavam em ascensão”, declarou Anton Ivanov, analista chefe de malware da Kaspersky Lab.

Segundo os dados da Kaspersky Lab, no total, 2,7 milhões de usuários foram atacados por mineradores mal-intencionados em 2017. Esse número é aproximadamente 50% maior que o de 2016 (1,87 milhão). Eles se tornaram vítimas por causa de adware, jogos e software pirateados usados pelos criminosos virtuais para infectar computadores secretamente. Outra abordagem usada foi a mineração na Web, por meio de um código especial localizado em uma página da Web infectada. O minerador da Web mais usado foi o CoinHive, detectado em muitos sites populares.

Publicado por Ascom

Assessoria de comunicação da empresa VirtualLink.