[bsa_pro_ad_space id=3 delay=8]

Minerador de criptomoeda se dissemina por meio do Messenger do Facebook

Se a conta do Facebook do usuário estiver configurada para iniciar sessão de forma automática, o malware consegue manipular o Messenger enviando um link com o arquivo para os amigos do usuário

Compartilhar:

A Trend Micro encontrou um novo bot de mineração de criptomoeda que passou a se disseminar pelo messenger do Facebook, observado pela primeira vez na Coreia do Sul.

 

Batizado pela Trend Micro como Digmine, o bot foi citado em um relatório de ocorrências recentes relacionadas na Coreia do Sul. O Digmine foi também observado se disseminando em outras regiões, como Vietnã, Azerbaijão, Ucrânia, Vietnã, Filipinas, Tailândia e Venezuela. No entanto, o Digmine deve logo chegar em outros países, devido a sua forma de propagação.

 

O messenger do Facebook funciona em diferentes plataformas, mas o malware afeta apenas a versão do navegador web (Chrome). Se o arquivo for aberto em outras plataformas (por exemplo, celular), o malware não funcionará da forma correta.

 

Se a conta do Facebook do usuário estiver configurada para iniciar sessão de forma automática, o Digmine consegue manipular o Messenger do Facebook fazendo com que seja enviado um link com o arquivo para os amigos do usuário.

 

Por enquanto, o Facebook só é explorado para propagar o bot, mas no futuro é possível que os hackers sequestrem a conta do Facebook do usuário. O código do recurso é impelido do servidor de comando e controle (C&C), ou seja, pode ser atualizado.

 

Um modus operandi comum dos botnets de mineração de criptomoeda, e particularmente do Digmine (que faz mineração de Monero), é permanecer no sistema da vítima o maior tempo possível. O objetivo também é infectar o máximo de máquinas que for possível, pois isso se traduz em um hashrate maior e potencialmente gera mais renda para o cibercriminoso.

 

Etapas da Infecção

O Digmine é um downloader que primeiro se conecta ao servidor de C&C para ler sua configuração e baixar vários componentes. A configuração inicial contém links para baixar os componentes, a maioria também hospedados no mesmo servidor de C&C. Ele salva os componentes baixados por download no diretório %appdata%\<username>.

 

O Digmine também executa outras rotinas, como a instalação de um mecanismo de autostart da inscrição, e um marcador de infecção do sistema. O Chrome é iniciado e então carrega uma extensão maliciosa no navegador, recuperada do servidor de C&C. Se o Chrome já estiver em execução, o malware fecha e abre novamente o programa para garantir que a extensão seja carregada. As extensões só podem ser carregadas e hospedadas na Chrome Web Store, mas os cibercriminosos ignoram isso e iniciam o Chrome (com a extensão maliciosa) através da linha de comando.

 

A extensão lê sua própria configuração a partir do servidor de C&C. Consequentemente, a própria extensão leva ao login no Facebook ou abert ura de uma página falsa que reproduz um vídeo, também parte da estrutura de C&C.

 

O site fake se passa por um site de transmissão de vídeo, mas também tem muitas configurações para os componentes do malware.

 

Disseminação

A extensão do navegador é responsável pela disseminação via interação com o Chrome e, por extensão, com o Messenger do Facebook. Esta rotina é desencadeada por condições disponíveis no arquivo de configuração recuperado do servidor de C&C.

 

Se o usuário fizer login automaticamente no Facebook, a extensão do navegador pode interagir com sua conta, baixando outro código do servidor de C&C. A interação do Digmine com o Facebook pode ter mais funções no futuro, sendo que pode adicionar mais códigos.

 

Componente de mineração

O módulo de mineração é baixado pelo codec.exe, um componente de gestão da mineração. Ele se conecta a outro servidor de C&C para recuperar o bot e seu arquivo de configuração.

 

O componente de mineração miner.exe é uma interação de um bot de mineração Monero de código aberto conhecido como XMRig. O bot de mineração foi reconfigurado para executar com um arquivo config.json em vez de receber parâmetros diretamente da linha de comando.

 

Comunicação e Protocolo da C&C

Tanto o componente de downloader quanto o de gestão da mineração usam cabeçalhos HTTP específicos para se comunicar com o servidor de C&C. Ao baixar a configuração inicial, o malware constrói a solicitação HTTP GET antes de enviar para o servidor de C&C:

 

GET /api/apple/config.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Miner
Window: <Window name of active window>
ScriptName: <filename of malware>
OS: <OS version>
Host: <C&C>

 

Um diferencial é a forma que o malware usa um User-Agent específico batizado de Miner, que nega o acesso ao arquivo de configuração inicial caso o cabeçalho HTTP da solicitação esteja incorreto.

 

Práticas recomendadas

 

A crescente popularidade da mineração de criptomoeda faz com que criminosos se voltem para o negócio com botnets de mineração. E, como a maioria dos esquemas de cibercriminosos, os números são cruciais: quanto maior o número de vítimas, maior o lucro.

 

O fato de explorarem plataformas populares como as redes sociais para espalhar o malware não é surpreendente. Para evitar esse tipo de ameaças, veja abaixo as práticas recomendadas pela Trend Micro para proteger as contas em redes sociais: pense antes de compartilhar, fique ligado em mensagens suspeitas e não solicitadas e ative as configurações de privacidade da sua conta.

 

Em tempo

 

A Trend Micro compartilhou as descobertas com o Facebook, que rapidamente removeu muitos dos links com Digmine de sua plataforma. O comunicado oficial do Facebook afirmou, “temos diversos sistemas automatizados para ajudar a impedir que links e arquivos prejudiciais apareçam no Facebook e no Messenger. Se suspeitarmos que seu computador esteja infectado com um malware, forneceremos uma verificação gratuita antivírus de nossos parceiros de confiança. Compartilhamos dicas de como se proteger e links para essas verificações facebook.com/help.”

 

 

Conteúdos Relacionados

Security Report | Overview

Cibercriminosos seguem mirando senhas fracas de PMEs na América Latina

Estudo da Kaspersky mostra que mais de 37% das pequenas e médias empresas latino-americanas sofreram alguma violação de cibersegurança nos...
Security Report | Overview

Novas vulnerabilidades críticas são encontradas em sistemas SAP, Cloudflare e WordPress, alerta laboratório

Consultoria Redbelt Security aconselha as empresas a adotarem uma abordagem colaborativa e proativa, adotando melhores práticas, tecnologias de vanguarda e...
Security Report | Overview

Febraban alerta para ligações de criminosos com falsas gravações para aplicar golpes

Como praxe, as organizações financeiras ligam para clientes como forma de confirmar transações consideradas suspeitas, mas jamais pedem dados pessoais...
Security Report | Overview

Ciberameaças às nuvens públicas crescem 93% em 2024, aponta relatório

Malware (41%), phishing (36%) e ransomware (32%) foram os que mais cresceram, atingindo principalmente ativos e armazenamento em Nuvem...