A empresa de segurança cibernética Darktrace identificou uma nova campanha de Jacking de Crypto, projetada para ignorar o Windows Defender e implantar um software de mineração de criptografia.
Resumo
- O Darktrace identificou uma campanha de Jacking Crypto que tem como alvo os sistemas Windows.
- A campanha envolve a implantação furtiva do NBMiner para extrair criptomoedas.
A Campanha de Jacking de Criptografia, identificada pela primeira vez no final de julho, envolve uma cadeia de infecções de vários estágios que sequestra silenciosamente o poder de processamento de um computador para extrair a criptomoeda, os pesquisadores do Darktrace Keanna Grelicha e Tara Gould explicaram em um relatório compartilhado com criptografia.
De acordo com os pesquisadores, a campanha tem como alvo especificamente os sistemas baseados no Windows, explorando o PowerShell, o shell da linha de comando interno da Microsoft e a linguagem de script, através da qual os maus atores são capazes de executar scripts maliciosos e obter acesso privilegiado ao sistema host.
Esses scripts maliciosos foram projetados para funcionar diretamente na memória do sistema (RAM) e, como resultado, as ferramentas tradicionais de antivírus que normalmente dependem de arquivos de digitalização nos discos rígidos de um sistema não conseguem detectar o processo malicioso.
Posteriormente, os invasores usam a linguagem de programação automática, que é uma ferramenta do Windows normalmente usada pelos profissionais de TI para automatizar tarefas, para injetar um carregador malicioso em um processo legítimo do Windows, que baixará e executa um programa de mineração de criptomoedas sem deixar traços óbvios no sistema.
Como uma linha de defesa adicional, o carregador está programado para executar uma série de verificações de ambiente, como a digitalização em busca de sinais de um ambiente de sandbox e inspecionar o host para obter produtos antivírus instalados.
A execução só prossegue se o Windows Defender for a única proteção ativa. Além disso, se a conta de usuário infectada não possui privilégios administrativos, o programa tentará um desvio de controle da conta de usuário para obter acesso elevado.
Quando essas condições são atendidas, o programa Downloads e executa o NBMiner, uma conhecida ferramenta de mineração de criptografia que usa a unidade de processamento de gráficos de um computador para extrair criptomoedas como Ravencoin (RVN) e Monero (XMR).
Nesse caso, o Darktrace foi capaz de conter o ataque usando seu sistema de resposta autônoma, impedindo que o dispositivo faça conexões de saída e bloqueando conexões específicas com pontos de extremidade suspeitos “.
“À medida que a criptomoeda continua a crescer em popularidade, como visto com a alta avaliação da capitalização de mercado global de criptomoedas (quase US $ 4 trilhões no momento da redação), os atores de ameaças continuarão vendo a criptografia como um empreendimento lucrativo”, escreveram os pesquisadores de Darktrace.
Em julho, o Darktrace sinalizou uma campanha separada, onde os maus atores estavam usando táticas complexas de engenharia social, como a se passar por empresas reais, para induzir os usuários a baixar software alterado que implanta malware de roubo de criptografia.
Diferentemente do esquema de Jacking de criptografia acima mencionado, essa abordagem direcionou os sistemas Windows e MacOS e foi executada pelas próprias vítimas que acreditavam que estavam interagindo com os membros da empresa.
Fontecrypto.news
