A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, descobriu uma campanha de vírus (malware) de mineração de criptomoedas imitando o Google Translate Desktop e outros aplicativos gratuitos para infectar PCs. Criada por uma entidade de idioma turco chamada Nitrokod, o golpe que visa rentabilizar criptomoedas contabiliza 111 mil downloads em 11 países desde 2019 (vítimas no Reino Unido, nos Estados Unidos, Sri Lanka, Grécia, Israel, Alemanha, Turquia, Chipre, Austrália, Mongólia e Polônia).
LEIA MAIS: Criptomoeda: a complexidade da economia no mundo digital
De acordo com a divulgação da descoberta, a CPR aponta que as ferramentas maliciosas podem ser usadas por qualquer pessoa e podem ser encontradas por uma simples pesquisa na web. A infecção é fácil: precisa só ser baixado a partir de um link e a instalação é feita com um simples duplo clique. O problema é que a única pista que a empresa tem é que as ferramentas foram construídas por um desenvolvedor que fala o idioma turco, supostamente o grupo Nitrokod.
Para não serem detectados por ferramentas de antivírus, os atacantes atrasam o processo de infecção por semanas. A CPR alerta que os cibercriminosos podem, ainda, facilmente optar por mudar o malware, alterando-o de um minerador de criptomoedas para ransomware ou cavalos de Troia bancários, por exemplo, estendo para ataques ainda mais perigosos.
A campanha coloca o malware em softwares gratuitos disponíveis em sites populares como o Softpedia e uptodown. Os softwares maliciosos também podem ser facilmente encontrados por meio do Google quando os usuários pesquisam por “download do Google Translate Desktop”. Após a instalação inicial do software, os atacantes retardam o processo de infecção por semanas, excluindo os rastros da instalação original.
Sem ser detectado durante anos
O golpe de mineração de criptomoedas operou com sucesso sob o radar por anos. Para evitar a detecção, os autores da Nitrokod implementaram algumas estratégias importantes:
- O malware é executado pela primeira vez quase um mês após a instalação do programa Nitrokod.
- O malware é entregue após seis estágios iniciais de programas infectados.
- A cadeia de infecção continua após um longo atraso usando um mecanismo de tarefas programadas, dando aos atacantes tempo para limpar todas as evidências.
A Check Point destaca o fato de que o software malicioso é bastante popular, mas ficou fora do radar por tanto tempo. A empresa conseguiu bloquear a ameaça para os seus clientes e agora divulga a descoberta para que outros usuários corporativos e finais também possam ser protegidos.
Já a cadeia de infecção segue os seguintes passos:
- A infecção começa com a instalação de um programa infectado baixado da Web.
- Assim que o usuário iniciar o novo software, um aplicativo de imitação do Google Translate é instalado. Além disso, um arquivo de atualização é baixado no disco que inicia uma série de quatro droppers (subtipo de malware que tem como propósito “liberar” outro arquivo executável malicioso) até que o malware seja lançado.
- Depois que o malware é executado, o mesmo se conecta ao seu servidor C&C (Comando e Controle) para obter uma configuração para o minerador de criptomoedas XMRig e inicia a atividade de mineração.
Principais orientações de cibersegurança
Atualmente, a ameaça identificada foi a instalação inconsciente de um minerador de criptomoedas, que rouba recursos do computador e os aproveita para que o atacante monetize. Ao adotar o mesmo fluxo de golpe, o cibercriminoso pode facilmente optar por modificar a programação do vírus, alterando o malware de um minerador de criptomoedas para um ransomware ou um cavalo de Troia bancário.
Para se proteger, a CPR recomenda:
- Ter cuidado com domínios semelhantes, erros de ortografia em sites e remetentes de e-mail desconhecidos.
- Fazer download de software apenas de editores e fornecedores autorizados e conhecidos.
- Evitar ataques de dia zero com uma arquitetura cibernética holística de ponta a ponta.
- Certificar-se de que a segurança dos endpoints esteja atualizada e forneça proteção abrangente.