São Paulo, maio de 2017 - As criptomoedas têm causado certo alarde nos últimos tempos. Enquanto alguns governos trabalham para regulamentar as transações envolvendo o dinheiro digital, a Trend Micro observou a movimentação de cibercriminosos em atividades de mineração de criptomoeda.

Desde atividades que exploram as unidades de processamento gráfico (GPUs) do hardware até aquelas que se beneficiam dos dispositivos móveis do usuário. Os cibercriminosos estão também de olho nessa tendência e a Deep Web está atualmente repleta de ofertas de malware para criptomoeda.

O criptomalware pode alcançar o lucro por meio de dois métodos diferentes: roubo ou mineração de criptomoeda em dispositivos sem que a vítimas percebam, um processo também conhecido como cryptojacking. A Trend Micro detalha abaixo como estes dois métodos funcionam, e se os dispositivos conectados à Internet da Coisas (IoT), que são relativamente menos potentes, estão sendo atacados.

Como funcionam os malwares de mineração e o roubo de criptomoeda 

Assim como o malware comum, o criptomalware pode assumir diferentes formas, desde scripts de web ou disfarçando-se sob aplicativos móveis. Outro ponto que contribui para o aumento do malware de mineração é a popularidade dos serviços online que tornam o processo muito mais fácil. De acordo com a Trend Micro, foi constatado um aumento no malware de mineração de criptomoeda na máquina do usuário com base em web escritos em JavaScript.

No entanto, esta ameaça não está restrita apenas aos computadores. Quase todos os dispositivos conectados à Internet podem ser parte de um botnet de mineração. De acordo com Fernando Mercês – pesquisador Sênior da Trend Micro, os criminosos precisam apenas do código necessário para fazer isto acontecer. E adivinhe: eles já estão adiantados nessa tarefa.

O modus operandi do malware de mineração da criptomoeda é composto dos seguintes passos:

1. Um código Dropper é executado no dispositivo da vítima, via scripts ou por meio de executáveis adequados. Para isto, os cibercriminosos podem atacar as infraestruturas do computador exposto, lançar ataques de phishing, ou usar maliciosamente as ferramentas como extensões do navegador, aplicativos móveis e mensagens instantâneas;
2. Em seguida, o código Miner é executado no dispositivo da vítima e usa seu poder de computação para calcular os hashes. Neste momento, a vítima pode notar um desempenho mais lento do dispositivo ou, no caso de um computador, ventoinhas mais barulhentas para evitar o superaquecimento da máquina;
3. Os resultados dos cálculos são enviados de volta para o hacker ou diretamente para um pool de mineração online, malicioso (estabelecido exclusivamente para dar suporte ao cibercrime) ou não. O hacker então converte os resultados em criptomoedas.

O malware de roubo de criptomoeda é diferente do malware de mineração da criptomoeda nas seguintes etapas:

O código malicioso pode procurar endereços de carteiras no armazenamento local (documentos de texto ou arquivos de configuração) e monitorar a memória do dispositivo, incluindo a área de transferência. Desta maneira, quando a vítima copia e cola um endereço da carteira, o malware pode substituí-lo pelo seu próprio endereço. Este comportamento é semelhante ao do malware Broban, difundido no Brasil em 2015, e que usava técnicas parecidas para redirecionar o destino de boletos de pagamento;

1. O malware intercepta as transações em criptomoeda. Para cada transação, a quantidade, independentemente do valor, é direcionada para as carteiras dos criminosos sem que o usuário perceba.

A variedade de outros tipos de ataques foi também constatada: foram identificadas páginas da web de phishing para câmbios de criptomoeda, mixers e outros serviços relacionados (similar ao que acontece com os websites de serviços bancários online).

IoT como alvo do malware de criptomoeda

O poder de computação dos smartphones e dispositivos IoT é muito menor do que aquele dos servidores e até mesmo dos notebooks. Ainda assim, é notável a criação de malwares de mineração de criptomoeda para infectar estes dispositivos. Um exemplo disso é o DroidMiner, anunciado em um fórum em 2017.

No mesmo fórum, outro agente ofereceu um minerador Monero para roteadores, disponível para diferentes arquiteturas.

De fato, o malware de criptomoeda está ganhando força em fóruns clandestinos, com alguns dedicados a explorar se os dispositivos conectados comprometidos são uma empreitada plausível. De fato, esta prática específica, ainda não é tão lucrativa como outros criminosos podem achar - pelo menos, não ainda.

Os detalhes sobre as descobertas da Trend Micro em relação à mineração de criptomoeda no mercado clandestino, incluindo quais são as criptomoedas que sofrem mais ataques e os recursos anunciados de malware, podem ser encontrados aqui.

Como se proteger

A mineração para criptomoeda é uma tarefa que exige recursos significantes, computacionalmente falando, sem falar no alto consumo de energia. De toda forma, é uma prática que vem gerando dinheiro: a mineração de criptomoeda foi a atividade de rede doméstica mais detectada pela solução Trend Micro^TM Smart Home Network em 2017.

Para diminuir os riscos, a Trend Micro recomenda algumas melhores práticas:

• Atualize regularmente os dispositivos com o firmware mais recente para impedir que hackers se beneficiem das vulnerabilidades;
• Mude os credenciais padrões dos dispositivos para evitar o acesso não autorizado;
• Desconfie de vetores de ataque conhecidos, como os links, anexos e arquivos projetados com engenharia social, aplicativos duvidosos de terceiros e e-mails não solicitados.

Os usuários também podem considerar adotar soluções de segurança que oferecem proteção contra diversas interações de malware de mineração de criptomoedas. O Trend Micro™ XGen™ security oferece machine learning de alta capacidade que pode garantir a segurança do gateway e endpoint, e proteger as workloads físicas, virtuais e em nuvem. 

Com tecnologias que utilizam a filtragem de web/URL, análise comportamental e sandboxing personalizado, o XGen security oferece proteção contra ameaças em constante evolução que ultrapassam os controles tradicionais e exploram vulnerabilidades conhecidas e desconhecidas. O XGen security também dá suporte à estrutura Trend Micro de soluções de segurança: Hybrid Cloud Security, User Protection, e Network Defense.

 

Sobre a Trend Micro

A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proporcionar um mundo seguro para a troca de informação digital. Nossas soluções inovadoras para os consumidores, empresas e governos fornecem segurança em camadas para datacenters, ambientes em nuvem, redes e endpoints.

Otimizadas para os principais ambientes, incluindo a Amazon Web Services, Microsoft®, VMware® e outros mais, nossas soluções permitem que as organizações automatizem a proteção de informações valiosas contra as ameaças atuais.

Todos os nossos produtos trabalham em conjunto para facilitar o compartilhamento de inteligência de ameaças e fornecer uma defesa contra ameaças conectada com visibilidade e controle centralizados, permitindo uma melhor proteção melhor e mais rápida.

Dentre os clientes Trend Micro, estão 45 dos 50 principais da lista top 50 Fortune ® Global 500 companies e 100% das 10 maiores empresas globais dos setores automotivo, bancário, telecomunicações e petróleo

Com cerca de 6.000 funcionários em mais de 50 países e a mais avançada inteligência de ameaças globais do mundo, a Trend Micro permite que as organizações se mantenham seguras em um mundo conectado. Para mais informações, visite www.trendmicro.com.