Uma nova campanha de grande escala contra os usuários de computadores em todo o mundo foi descoberta aos mineiros planta criptomoeda através de um falso Adobe Flash Update. O relatório de segurança indica que os criminosos mudaram a tática de distribuição de ransomware para mineradores de criptomoedas usando este método malicioso. O extenso relatório de segurança descreve como essa nova abordagem está sendo usada para causar milhares de infecções em todo o mundo.
Mineiros de criptomoeda distribuídos por meio de atualização falsa do Adobe Flash
O mineiro criptomoeda é uma das infecções de vírus mais comuns nos últimos tempos. Muitos relatórios de segurança indicam que há um grande interesse em sua implantação, pois cada infiltração bem-sucedida leva à geração de renda direta para os operadores de malware. Os ataques que abusam desse método parecem ter começado em agosto 2018 onde amostra maliciosa que se faz passar por atualizações do Adobe Flash. Descobriu-se que esta campanha em particular usa as notificações pop-up reais usadas pela Adobe. Quando eles são instalados pelos usuários, isso irá colocar um script malicioso instalando o minerador XMRIG Monero. Ele usará um arquivo de configuração feito por hackers que aproveitará os recursos do sistema disponíveis para realizar cálculos complexos. Quando eles forem relatados, a criptomoeda Monero será concedida aos operadores de hackers.
Os arquivos maliciosos são do tipo AdobeFlashPlayer__ Sinais de aviso das cepas de mineradores falsas do Adobe Flash Update são as seguintes:
- Nomes não válidos - O uso de caracteres especiais, versões numéricas e outros símbolos que podem ser um aviso de ameaças potenciais.
- UAC Window Prompts - Ao abrir os arquivos sob o Editor valor que a entrada maliciosa lerá “Desconhecido”.
- Endereços de sites falsos - Os hackers podem construir sites de fornecedores falsos, páginas de destino e etc. Os certificados de segurança também podem ser criados para fazer os usuários acreditarem que estão navegando para um site seguro.
Após a infecção do minerador de criptomoeda, o cliente local primeiro se comunicará com um servidor controlado por hacker para relatar o novo host escravo. Em certas situações, isso também pode levar a outras infecções. Isso significa que tais instâncias podem permitir que um computador ou rede de destino experimente uma entrega combinada de malware. troiano e ransomware as amostras são muito prováveis de serem distribuídas usando tais métodos. A razão para isso é o fato de que, como o script malicioso já alcançou privilégio administrativo (através da janela do UAC) a infecção de malware associada será instalada em uma pasta do sistema e pode se conectar a qualquer processo operacional.
Isso nos leva a acreditar que outro software popular pode ser direcionado em campanhas futuras. Os usuários de computador são aconselhados a ter muito cuidado ao instalar ou atualizar seu software e sempre ficar atentos a quaisquer sinais de alerta em potencial de instaladores falsos.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: