Mais de 28.000 pessoas da Rússia, Turquia, Ucrânia e outros países da região Eurásia foram impactadas por uma campanha de malware em larga escala com foco no roubo de criptomoedas.
A campanha de malware se disfarça como software legítimo promovido por meio de vídeos no YouTube e repositórios fraudulentos no GitHub, onde as vítimas fazem o download de arquivos compactados protegidos por senha, que iniciam a infecção.
De acordo com a firma de cibersegurança Dr. Web, a campanha usa software pirata relacionado a escritório, cheats e hacks para jogos, e até bots de trading automatizados para enganar os usuários a baixar arquivos maliciosos.
"No total, essa campanha de malware afetou mais de 28.000 pessoas, a grande maioria residente na Rússia", disse a Dr.Web.
Números significativos de infecções também foram observados em Belarus, Uzbequistão, Cazaquistão, Ucrânia, Quirguistão e Turquia.
A infecção começa com a abertura de um arquivo autoextraível que evita a detecção por antivírus quando baixado, já que é protegido por senha.
Após a vítima inserir a senha fornecida, o arquivo libera vários scripts ofuscados, arquivos DLL e um interpretador AutoIT usado para lançar o carregador assinado digitalmente do payload principal.
O malware verifica a presença de ferramentas de debugging para ver se está rodando em um ambiente de analista e termina se alguma for encontrada.
Em seguida, extrai os arquivos necessários para as etapas subsequentes do ataque e depois usa a técnica de Image File Execution Options (IFEO) para modificar o Registro do Windows para persistência.
Em resumo, ele sequestra serviços legítimos do sistema Windows, bem como processos de atualização do Chrome e Edge, substituindo-os por maliciosos, de modo que os arquivos do malware são executados no lançamento desses processos.
O Serviço de Recuperação do Windows é desabilitado, e as permissões de "deletar" e "modificar" nos arquivos e pastas do malware são revogadas para impedir tentativas de limpeza.
A partir daí, a utilidade de rede Ncat é empregada para estabelecer comunicação com o servidor de comando e controle (C2).
O malware também pode coletar informações do sistema, incluindo processos de segurança em execução, que são exfiltrados via um bot do Telegram.
A campanha entrega dois payloads principais nas máquinas das vítimas.
O primeiro é "Deviceld.dll", uma biblioteca .NET modificada usada para executar o SilentCryptoMiner, que minera criptomoedas usando os recursos computacionais da vítima.
O segundo payload é "7zxa.dll", uma biblioteca 7-Zip modificada que funciona como um clipper, monitorando a área de transferência do Windows por endereços de carteira copiados e substituindo-os por endereços sob controle do atacante.
A Dr.Web não especificou no relatório os lucros potenciais da mineração a partir das 28.000 máquinas infectadas, mas descobriu que o clipper sozinho havia desviado $6.000 em transações, redirecionando o montante para os endereços do atacante.
Para evitar perdas financeiras inesperadas, baixe software apenas do site oficial do projeto e bloqueie ou pule resultados promovidos na Pesquisa Google.
Além disso, tenha cuidado com links compartilhados no YouTube ou GitHub, pois a legitimidade dessas plataformas não garante a segurança do destino do download.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...