Cibercriminosos imitam app do Google Translate em golpe de criptomoedas

Cibercriminosos imitam app do Google Translate em golpe de criptomoedas

A Check Point Research (CPR) descobre uma campanha ativa de mineração de criptomoedas imitando o Google Translate Desktop e outros softwares gratuitos para infectar PCs

Tecnologia
Por João Monteiro
Novos golpes com PIX são identificados pela Kaspersky

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, descobriu uma campanha de vírus (malware) de mineração de criptomoedas imitando o Google Translate Desktop e outros aplicativos gratuitos para infectar PCs. Criada por uma entidade de idioma turco chamada Nitrokod, o golpe que visa rentabilizar criptomoedas contabiliza 111 mil downloads em 11 países desde 2019 (vítimas no Reino Unido, nos Estados Unidos, Sri Lanka, Grécia, Israel, Alemanha, Turquia, Chipre, Austrália, Mongólia e Polônia).

LEIA MAIS: Criptomoeda: a complexidade da economia no mundo digital

De acordo com a divulgação da descoberta, a CPR aponta que as ferramentas maliciosas podem ser usadas por qualquer pessoa e podem ser encontradas por uma simples pesquisa na web. A infecção é fácil: precisa só ser baixado a partir de um link e a instalação é feita com um simples duplo clique. O problema é que a única pista que a empresa tem é que as ferramentas foram construídas por um desenvolvedor que fala o idioma turco, supostamente o grupo Nitrokod. 

Para não serem detectados por ferramentas de antivírus, os atacantes atrasam o processo de infecção por semanas. A CPR alerta que os cibercriminosos podem, ainda, facilmente optar por mudar o malware, alterando-o de um minerador de criptomoedas para ransomware ou cavalos de Troia bancários, por exemplo, estendo para ataques ainda mais perigosos. 

A campanha coloca o malware em softwares gratuitos disponíveis em sites populares como o Softpedia e uptodown. Os softwares maliciosos também podem ser facilmente encontrados por meio do Google quando os usuários pesquisam por “download do Google Translate Desktop”. Após a instalação inicial do software, os atacantes retardam o processo de infecção por semanas, excluindo os rastros da instalação original. 

Sem ser detectado durante anos 

O golpe de mineração de criptomoedas operou com sucesso sob o radar por anos. Para evitar a detecção, os autores da Nitrokod implementaram algumas estratégias importantes: 

Você também pode gostar:

Cuidado! Novo Golpe do “Jogo do Tigrinho” se espalha nas Redes…

Google vai alertar se seus dados caíram na busca; veja como ativar sistema

Google anuncia criação do “modo ladrão”; veja como vai funcionar

  • O malware é executado pela primeira vez quase um mês após a instalação do programa Nitrokod. 
  • O malware é entregue após seis estágios iniciais de programas infectados. 
  • A cadeia de infecção continua após um longo atraso usando um mecanismo de tarefas programadas, dando aos atacantes tempo para limpar todas as evidências. 

A Check Point destaca o fato de que o software malicioso é bastante popular, mas ficou fora do radar por tanto tempo. A empresa conseguiu bloquear a ameaça para os seus clientes e agora divulga a descoberta para que outros usuários corporativos e finais também possam ser protegidos.  

Já a cadeia de infecção segue os seguintes passos: 

  1. A infecção começa com a instalação de um programa infectado baixado da Web. 
  2. Assim que o usuário iniciar o novo software, um aplicativo de imitação do Google Translate é instalado. Além disso, um arquivo de atualização é baixado no disco que inicia uma série de quatro droppers (subtipo de malware que tem como propósito “liberar” outro arquivo executável malicioso) até que o malware seja lançado. 
  3. Depois que o malware é executado, o mesmo se conecta ao seu servidor C&C (Comando e Controle) para obter uma configuração para o minerador de criptomoedas XMRig e inicia a atividade de mineração. 

Principais orientações de cibersegurança 

Atualmente, a ameaça identificada foi a instalação inconsciente de um minerador de criptomoedas, que rouba recursos do computador e os aproveita para que o atacante monetize. Ao adotar o mesmo fluxo de golpe, o cibercriminoso pode facilmente optar por modificar a programação do vírus, alterando o malware de um minerador de criptomoedas para um ransomware ou um cavalo de Troia bancário. 

Para se proteger, a CPR recomenda: 

  • Ter cuidado com domínios semelhantes, erros de ortografia em sites e remetentes de e-mail desconhecidos. 
  • Fazer download de software apenas de editores e fornecedores autorizados e conhecidos. 
  • Evitar ataques de dia zero com uma arquitetura cibernética holística de ponta a ponta. 
  • Certificar-se de que a segurança dos endpoints esteja atualizada e forneça proteção abrangente.
João Monteiro 835 notícias

João Monteiro é formado em Jornalismo e escreve sobre Tecnologia há mais de cinco anos.

você pode gostar também Mais do autor
Deixe uma resposta

Seu endereço de email não será publicado.

Obrigado por se cadastrar nas Push Notifications!

Quais os assuntos do seu interesse?