A Trend Micro encontrou um novo bot de mineração de criptomoeda que passou a se disseminar pelo messenger do Facebook, observado pela primeira vez na Coreia do Sul.
Batizado pela Trend Micro como Digmine, o bot foi citado em um relatório de ocorrências recentes relacionadas na Coreia do Sul. O Digmine foi também observado se disseminando em outras regiões, como Vietnã, Azerbaijão, Ucrânia, Vietnã, Filipinas, Tailândia e Venezuela. No entanto, o Digmine deve logo chegar em outros países, devido a sua forma de propagação.
O messenger do Facebook funciona em diferentes plataformas, mas o malware afeta apenas a versão do navegador web (Chrome). Se o arquivo for aberto em outras plataformas (por exemplo, celular), o malware não funcionará da forma correta.
Se a conta do Facebook do usuário estiver configurada para iniciar sessão de forma automática, o Digmine consegue manipular o Messenger do Facebook fazendo com que seja enviado um link com o arquivo para os amigos do usuário.
Por enquanto, o Facebook só é explorado para propagar o bot, mas no futuro é possível que os hackers sequestrem a conta do Facebook do usuário. O código do recurso é impelido do servidor de comando e controle (C&C), ou seja, pode ser atualizado.
Um modus operandi comum dos botnets de mineração de criptomoeda, e particularmente do Digmine (que faz mineração de Monero), é permanecer no sistema da vítima o maior tempo possível. O objetivo também é infectar o máximo de máquinas que for possível, pois isso se traduz em um hashrate maior e potencialmente gera mais renda para o cibercriminoso.
Etapas da Infecção
O Digmine é um downloader que primeiro se conecta ao servidor de C&C para ler sua configuração e baixar vários componentes. A configuração inicial contém links para baixar os componentes, a maioria também hospedados no mesmo servidor de C&C. Ele salva os componentes baixados por download no diretório %appdata%\<username>.
O Digmine também executa outras rotinas, como a instalação de um mecanismo de autostart da inscrição, e um marcador de infecção do sistema. O Chrome é iniciado e então carrega uma extensão maliciosa no navegador, recuperada do servidor de C&C. Se o Chrome já estiver em execução, o malware fecha e abre novamente o programa para garantir que a extensão seja carregada. As extensões só podem ser carregadas e hospedadas na Chrome Web Store, mas os cibercriminosos ignoram isso e iniciam o Chrome (com a extensão maliciosa) através da linha de comando.
A extensão lê sua própria configuração a partir do servidor de C&C. Consequentemente, a própria extensão leva ao login no Facebook ou abert ura de uma página falsa que reproduz um vídeo, também parte da estrutura de C&C.
O site fake se passa por um site de transmissão de vídeo, mas também tem muitas configurações para os componentes do malware.
Disseminação
A extensão do navegador é responsável pela disseminação via interação com o Chrome e, por extensão, com o Messenger do Facebook. Esta rotina é desencadeada por condições disponíveis no arquivo de configuração recuperado do servidor de C&C.
Se o usuário fizer login automaticamente no Facebook, a extensão do navegador pode interagir com sua conta, baixando outro código do servidor de C&C. A interação do Digmine com o Facebook pode ter mais funções no futuro, sendo que pode adicionar mais códigos.
Componente de mineração
O módulo de mineração é baixado pelo codec.exe, um componente de gestão da mineração. Ele se conecta a outro servidor de C&C para recuperar o bot e seu arquivo de configuração.
O componente de mineração miner.exe é uma interação de um bot de mineração Monero de código aberto conhecido como XMRig. O bot de mineração foi reconfigurado para executar com um arquivo config.json em vez de receber parâmetros diretamente da linha de comando.
Comunicação e Protocolo da C&C
Tanto o componente de downloader quanto o de gestão da mineração usam cabeçalhos HTTP específicos para se comunicar com o servidor de C&C. Ao baixar a configuração inicial, o malware constrói a solicitação HTTP GET antes de enviar para o servidor de C&C:
GET /api/apple/config.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Miner
Window: <Window name of active window>
ScriptName: <filename of malware>
OS: <OS version>
Host: <C&C>
Um diferencial é a forma que o malware usa um User-Agent específico batizado de Miner, que nega o acesso ao arquivo de configuração inicial caso o cabeçalho HTTP da solicitação esteja incorreto.
Práticas recomendadas
A crescente popularidade da mineração de criptomoeda faz com que criminosos se voltem para o negócio com botnets de mineração. E, como a maioria dos esquemas de cibercriminosos, os números são cruciais: quanto maior o número de vítimas, maior o lucro.
O fato de explorarem plataformas populares como as redes sociais para espalhar o malware não é surpreendente. Para evitar esse tipo de ameaças, veja abaixo as práticas recomendadas pela Trend Micro para proteger as contas em redes sociais: pense antes de compartilhar, fique ligado em mensagens suspeitas e não solicitadas e ative as configurações de privacidade da sua conta.
Em tempo
A Trend Micro compartilhou as descobertas com o Facebook, que rapidamente removeu muitos dos links com Digmine de sua plataforma. O comunicado oficial do Facebook afirmou, “temos diversos sistemas automatizados para ajudar a impedir que links e arquivos prejudiciais apareçam no Facebook e no Messenger. Se suspeitarmos que seu computador esteja infectado com um malware, forneceremos uma verificação gratuita antivírus de nossos parceiros de confiança. Compartilhamos dicas de como se proteger e links para essas verificações facebook.com/help.”