Os mineradores de criptomoeda são alguns dos malwares mais perigosos atualmente direcionados contra alvos em todo o mundo. As campanhas de ataque que os carregam têm a capacidade de causar muitos danos aos hosts alvo. Uma exploração recente descoberta levou à descoberta de que sites governamentais em todo o mundo foram infectados por mineradores de criptomoedas de diferentes tipos.
Mecanismo de infecção de mineradores de criptomoedas
A principal maneira de se infectar com esse tipo de ameaça é o redirecionamento para sites de malware. Os criminosos inserem scripts perigosos nos sites e tentam usar diferentes táticas para levar os usuários a se infectarem. Uma das técnicas populares é a criação de sites de malware que contêm links para os executáveis do malware. Nos últimos meses, os scripts de malware são incorporados diretamente no código do site e executados por meio das instâncias do navegador.
Em outros casos, o código do minerador de criptomoeda pode ser incorporado usando mensagens de e-mail. Eles podem ser personalizados usando táticas diferentes, dependendo dos usuários finais-alvo. O primeiro tipo é o uso de anexos de email. Usando o texto do conteúdo do corpo de engenharia social apropriado, os hackers tentam manipular os alvos para abri-los. Outra opção seria inserir hiperlinks de malware que redirecionam os usuários para instâncias hospedadas por malware. Os criminosos também podem optar por usar duas outras estratégias que entregam os arquivos executáveis aos alvos pretendidos.
Instaladores de software malware representam cópias modificadas por hackers dos arquivos legítimos. Versões gratuitas ou de teste de software popular são retiradas de seus sites oficiais de download e modificadas para incluir código perigoso. Eles são então distribuídos em sites de malware e por meio de mensagens de spam de e-mail. De forma semelhante documentos infectados são a outra possibilidade que depende de macros vulneráveis inseridas neles. Após a execução, as vítimas verão um prompt de notificação que solicita que executem os scripts integrados. Se isso for feito a infecção pelo vírus segue.
A infecção de ataque em andamento por trás dos ataques de criptomoeda do governo parece se originar do uso de scripts de malware. Os criminosos por trás da campanha usaram um seqüestrador de navegador plugin compatível com os navegadores mais populares (Mozilla Firefox, Safári, Google Chrome, Internet Explorer, Microsoft Edge e Opera). Eles geralmente são distribuídos nos repositórios oficiais e utilizam credenciais falsas de desenvolvedor e análises de usuários para manipular as vítimas para usá-los.
A rota de infecção neste exemplo é a distribuição de um plugin falso chamado Navegador em voz alta que está sendo anunciado por uma empresa chamada Texthelp Limited. O site carrega um código Javascript específico que é capaz de ler o texto em voz alta. E embora o serviço em si não seja malicioso, ele foi infiltrado por hackers de computador que conseguiram sequestrar o código.
Rota de infecções de mineradores de criptomoedas
Descobriu-se que os sites governamentais afetados utilizam a extensão Browse Aloud como parte de seu serviço aos usuários. O carregamento do código relevante da fonte externa levou à implantação em massa de mineradores de criptomoeda. Assim que as infecções forem relatadas na comunidade de segurança, uma investigação aprofundada foi iniciada. No momento, nenhuma outra atividade de malware foi detectada vindo do site. À semelhança de outras ameaças relacionadas, visa fazer uso dos recursos informáticos disponíveis para gerar receitas através do processamento de operações complexas. E, ao contrário de outras ameaças semelhantes, limita a quantidade de poder de processamento que é sequestrado.
No momento, os especialistas em segurança descobriram que sites governamentais em todo o mundo foram vítimas das infecções. A análise em andamento mostra que as páginas afetadas fazem parte dos sites oficiais das seguintes instituições:
- Tribunais dos EUA (NOS)
- Conselho Geral de Medicina (Reino Unido)
- serviço Nacional de Saúde (Reino Unido)
- Câmara Municipal de Manchester (Reino Unido)
- Governo de Queensland (TO)
- Gabinete do Comissário de Informação (Reino Unido)
Os usuários de computador podem verificar se foram vítimas de software de mineração baixando um scanner anti-malware de qualidade.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter