pesquisa New Kaspersky indica que o cada vez mais popular Roaming Mantis Grupo está testando uma nova técnica de monetização que envolve o redirecionamento de usuários iOS para Coinhive no navegador páginas de mineração. As atividades anteriores deste grupo de hackers incluíram a exploração de roteadores vulneráveis e a alteração de sua configuração de DNS.
Isso permitiria que os invasores redirecionassem o tráfego do roteador para aplicativos Android maliciosos mascarados como Facebook ou Chrome, ou no caso de dispositivos Apple - para páginas de phishing implantadas para colher credenciais de ID Apple.
The Roaming Mantis Group com novas abordagens de hackers
Em suas mais novas campanhas, os invasores parecem estar redirecionando os usuários do iOS para páginas carregadas com o script de mineração do navegador Coinhive, em vez de redirecioná-los para a página normal de phishing da Apple. Uma vez redirecionado, os usuários vêem uma página em branco, com sua CPU pulando para 90% ou ainda mais alto.
“Durante a nossa pesquisa, ficou claro que o Roaming Mantis tem sido bastante ativo e evoluiu rapidamente,”Os pesquisadores da Kaspersky disseram. Pelo visto, malware produzido pelo Roaming Mantis Group agora suporta 27 línguas, incluindo vários países da Ásia e além, Europa e Oriente Médio. As atualizações mais recentes em termos de atividades maliciosas incluem mineração de criptografia na web para PC, e páginas de phishing da Apple para dispositivos iOS.
Confirmamos várias novas atividades e mudanças em seus métodos ilegais de obtenção de lucro, como mineração de criptografia da web para dispositivos iOS, espalhando através do sistema de entrega de conteúdo malicioso e assim por diante, Kaspersky adicionado.
O grupo de hackers visava anteriormente dispositivos iOS por meio de uma página de phishing da Apple projetada para coletar credenciais. Contudo, agora o código-fonte HTML da página de destino maliciosa parece ter sido alterado.
Pelo visto, os hackers desativaram o redirecionamento para o falso portal da Apple (com uma página de phishing) e código adicionado com um script de mineração da web (anteriormente usado apenas para computadores) para executar mineração em dispositivos iOS, os pesquisadores explicaram.
Curiosamente, um dia após a Kaspersky ter confirmado suas descobertas, os hackers voltaram para o phishing da Apple novamente. “Acreditamos que os criminosos, naquela hora, estavam testando a possível receita de mineração na web em dispositivos iOS, procurando uma maneira eficiente de monetizar suas atividades“, Kaspersky concluiu.