Uma nova campanha massiva de malware está infectando usuários com um minerador de criptomoedas denominado SilentCryptoMiner, disfarçando-o como uma ferramenta projetada para contornar bloqueios de internet e restrições em torno dos serviços online.
A empresa russa de cibersegurança Kaspersky disse que a atividade faz parte de uma tendência maior, onde os cibercriminosos estão cada vez mais aproveitando ferramentas Windows Packet Divert (WPD) para distribuir malwares sob a fachada de programas de bypass de restrições.
"Esse tipo de software é frequentemente distribuído em forma de arquivos com instruções de instalação em texto, nos quais os desenvolvedores recomendam desativar soluções de segurança, citando falsos positivos", disseram os pesquisadores Leonid Bezvershenko, Dmitry Pikush e Oleg Kupreev.
Isso favorece os atacantes, permitindo que eles persistam em um sistema desprotegido sem o risco de detecção.
Essa abordagem tem sido usada como parte de esquemas que propagam stealers, ferramentas de acesso remoto (RATs), trojans que oferecem acesso remoto oculto e mineradores de criptomoedas como NJRat, XWorm, Phemedrone e DCRat.
A mais recente variação nessa tática é uma campanha que comprometeu mais de 2.000 usuários russos com um minerador disfarçado como uma ferramenta para contornar bloqueios baseados em deep packet inspection (DPI).
Diz-se que o programa foi anunciado na forma de um link para um arquivo malicioso por um canal no YouTube com 60.000 inscritos.
Em uma escalada subsequente das táticas observadas em novembro de 2024, os atores de ameaças foram encontrados se passando por desenvolvedores dessas ferramentas para ameaçar os proprietários de canais com notificações falsas de violação de direitos autorais e exigir que postassem vídeos com links maliciosos ou arriscassem ter seus canais fechados por suposta infração.
"E em dezembro de 2024, usuários relataram a distribuição de uma versão do mesmo ferramental infectada por minerador através de outros canais do Telegram e YouTube, que desde então foram fechados", disse a Kaspersky.
Os arquivos armadilhados foram encontrados contendo um executável extra, com um dos scripts em lote legítimos modificados para executar o binário via PowerShell.
No caso de o software antivírus instalado no sistema interferir na cadeia de ataque e deletar o binário malicioso, é exibida uma mensagem de erro que insta os usuários a baixar novamente o arquivo e executá-lo após desativar as soluções de segurança.
O executável é um carregador baseado em Python que é projetado para recuperar um malware de próxima fase, outro script em Python que baixa o payload do SilentCryptoMiner e estabelece persistência, mas não antes de verificar se está sendo executado em uma sandbox e configurar exclusões no Windows Defender.
O minerador, baseado no minerador de código aberto XMRig, é preenchido com blocos aleatórios de dados para inflar artificialmente o tamanho do arquivo para 690 MB e, por fim, dificultar a análise automática pelas soluções de antivírus e sandboxes.
"Para discrição, SilentCryptoMiner emprega o processo hollowing para injetar o código do minerador em um processo do sistema (neste caso, dwm.exe)", disse a Kaspersky.
O malware é capaz de parar a mineração enquanto os processos especificados na configuração estiverem ativos.
Ele pode ser controlado remotamente via um painel web.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...