Presentes na Windows store, apps mineravam criptomoedas secretamente

Em janeiro, pesquisadores de segurança da Symantec descobriram aplicativos criptomineradores na Microsoft App Store, os quais foram publicados na loja entre abril e dezembro de 2018. Não está claro quantos usuários baixaram ou instalaram os aplicativos, mas eles tinham quase 1.900 avaliações de usuários.

Os aplicativos maliciosos colocados como navegadores, mecanismos de pesquisa, downloaders de vídeos do YouTube, VPN e otimizadores de computadores foram enviados por três contas de desenvolvedores chamados DigiDream, 1clean e Findoo. No entanto, os pesquisadores da Symantec acreditam que os aplicativos foram criados por uma única pessoa ou pelo mesmo grupo de invasores, já que todos compartilham o mesmo domínio de origem no back-end.

“Assim que os aplicativos são baixados e lançados, eles buscam uma biblioteca JavaScript de mineração de moedas acionando o Gerenciador de Tags do Google (GTM) em seus servidores de domínio”, disseram os pesquisadores da Symantec em um relatório na sexta-feira. “O script de mineração é ativado e começa a usar a maioria dos ciclos da CPU do computador para minerar o Monero para os operadores. Embora esses aplicativos pareçam fornecer políticas de privacidade, não há menção à mineração de moedas em suas respectivas descrições na loja de aplicativos”.

Os programas foram publicados como Progressive Web Applications (PWA), um tipo de aplicativo que funciona como uma página da Web, mas também tem acesso ao hardware do computador por meio de APIs, podendo enviar notificações push, usar armazenamento off-line e se comportar como um programa nativo. No Windows 10, esses aplicativos são executados independentemente do navegador, em um processo autônomo chamado WWAHost.exe.

Quando executados, os aplicativos sinalizam o GTM, um serviço legítimo que permite aos desenvolvedores injetarem dinamicamente o JavaScript em seus aplicativos. Todos os apps usam a mesma chave única do GTM, o que sugere que eles foram criados pelo mesmo desenvolvedor.

O script carregado pelos aplicativos é uma variante do Coinhive, um minerador de criptomoeda baseado em Web que foi usado no passado por invasores para infectar sites e sequestrar recursos da CPU dos visitantes.

“Informamos a Microsoft e o Google sobre os comportamentos desses aplicativos’, disseram os pesquisadores da Symantec. “A Microsoft removeu os aplicativos de sua loja. O JavaScript de mineração também foi removido do Gerenciador de Tags do Google”.

Este incidente mostra que a mineração com criptomoedas continua sendo de grande interesse para os cibercriminosos. Seja para sequestrar computadores pessoais ou servidores em datacenters, eles estão sempre à procura de novas maneiras de implantar mineradores.

Nos últimos dois anos, os invasores lançaram ataques de mineração de moedas por meio de aplicativos Android hospedados no Google Play, por extensões de navegador para o Google Chrome e Mozilla Firefox, por aplicativos de desktop comuns, por sites comprometidos (roubados ou hackeados) e agora pelo PWA do Windows 10. Há também uma variedade de botnets que infectam servidores Linux e Windows com programas de mineração de criptomoedas, explorando vulnerabilidades em aplicativos e plataformas populares da Web.

Os usuários geralmente são aconselhados a fazer o download apenas de aplicativos de fontes confiáveis, seja em dispositivos móveis ou computadores. No entanto, com aplicativos desonestos que frequentemente chegam às lojas de aplicativos oficiais, confiar apenas naqueles conselhos para proteção não é mais uma opção.

Fonte: itmidia

App da Google Play roubava criptomoedas

De acordo com a ESET, um aplicativo malicioso chamado MetaMask estava disponível para download na loja oficial de aplicativos Google Play Store. Quando instalado, o app substituia endereços de carteiras copiadas no clipboard do Android por uma falsa, que distribuía criptomoedas para os cibercriminosos.

Entre os principais alvos do MetaMask, estavam usuários das criptomoedas Ethereum e Bitcoin

O que isso significa? Quando um usuário tentava transferir dinheiro para a própria conta, ele acabava transferindo para a conta propagada pelo aplicativo malicioso. A ESET afirma que esse tipo de malware mira usuários Windows desde 2017.

Entre os principais alvos do MetaMask, estavam usuários das criptomoedas Ethereum e Bitcoin. Felizmente, a Google retirou o aplicativo do ar poucos dias depois de sua entrada, no dia 1 de fevereiro deste ano.

Fonte: Tecmundo

Trojan manipula extensões dos navegadores para roubar criptomoedas

O Trojan Razy tem como alvo as extensões legítimas do navegador e está falsificando os resultados da pesquisa na tentativa de invadir as carteiras de criptomoedas e roubar moedas virtuais das vítimas.

De acordo com uma nova pesquisa publicada pela Kaspersky Lab, o malware, conhecido como Razy, é um Trojan que usa algumas das técnicas mais incomuns no registro quando infecta sistemas.

Detectado pela Kaspersky como Trojan.Win32.Razy.gen, o Razy é um arquivo executável que se espalha através de malvertising em sites e também é empacotado e distribuído em serviços de hospedagem de arquivos enquanto se disfarça de software legítimo.

O principal aspecto do malware é sua capacidade de roubar a criptomoeda. Razy se concentra em comprometer navegadores, incluindo o Google Chrome, o Mozilla Firefox e o Yandex. Existem vetores de infecção diferentes, dependendo do tipo de navegador encontrado em um sistema infectado.

O Razy é capaz de instalar extensões de navegador maliciosas, o que não é novidade. No entanto, o cavalo de Tróia também é capaz de infectar extensões legítimas já instaladas, desabilitando as verificações de integridade para extensões e atualizações automáticas para navegadores.

No caso do Google Chrome, o Razy edita o arquivo chrome.dll para desabilitar as verificações de integridade de extensão e renomeia esse arquivo para quebrar o caminho padrão. As chaves do registro são criadas para desativar as atualizações do navegador.

“Encontramos casos em que diferentes extensões do Chrome foram infectadas”, dizem os pesquisadores. “Uma extensão, em especial, vale a pena mencionar: o Chrome Media Router é um componente do serviço com o mesmo nome em navegadores baseados no Chromium. Ele está presente em todos os dispositivos em que o navegador Chrome está instalado, embora não seja exibido no lista de extensões instaladas. ”

Para comprometer o Firefox, uma extensão maliciosa chamada “Proteção do Firefox” está instalada. Quando se trata do Yandex, o Trojan também desativa as verificações de integridade, renomeia o arquivo browser.dll e cria chaves de registro para evitar atualizações do navegador. Uma extensão maliciosa chamada Yandex Protect é então baixada e instalada.

A maioria das funções do malware é servida através de um único script .js que permite ao malware procurar endereços de carteira criptografada, substituir esses endereços por outros controlados por agentes de ameaça, falsificar imagens e códigos QR que apontam para carteiras, bem como modificar o código. páginas web de trocas de criptomoedas.

O Razy também é capaz de falsificar os resultados de busca do Google e do Yandex em navegadores infectados, o que pode resultar em vítimas visitar inadvertidamente páginas da web maliciosas. O cavalo de tróia irá frequentemente interferir nos resultados relacionados à criptomoeda, na tentativa de induzir os usuários a entregar suas credenciais – por exemplo, promovendo novos serviços ou negociando vendas de moedas que exijam que o usuário faça o login se desejar participar.

Nos três casos de navegadores, vários scripts adicionais são baixados. Dois dos scripts, firebase-app.js e firebase-messaging.js, são coletores de estatísticas legítimos, enquanto outros dois, bgs.js e extab.js, são scripts maliciosos e ofuscados que modificam páginas da web e permitem que anúncios mal-intencionados sejam inseridos .

Fonte: ZDNet

Cibercriminosos criam malware para roubo de criptomoedas

Os métodos de ataque que cibercriminosos de elite usam são muitas vezes tão sofisticados que até mesmo profissionais de cibersegurança têm grandes dificuldades em descobri-los. Há algum tempo, os especialistas da Kaspersky detectaram uma nova campanha de um grupo norte-coreano chamado Lazarus, reconhecido por seus ataques a Sony Pictures e várias instituições financeiras – um roubo de US$ 81 milhões de dólares do Banco Central da República Popular do Bangladesh, por exemplo.

Neste caso em particular, os invasores decidiram encher os bolsos com algumas criptomoedas. Para abrir as carteiras das vítimas, lançaram um malware nas redes corporativas de diversas exchanges de criptomoedas. Os criminosos confiaram no fator humano e foram recompensados.

Software de operações com uma atualização maliciosa

A penetração na rede começou com um e-mail. Pelo menos um dos funcionários da exchange recebeu uma oferta para instalar um aplicativo de operações financeiras, compra e venda de moedas virtuais chamado Celas Trade Pro, da Celas Limited. Um software como esse pode ser potencialmente útil para a empresa, considerando seu perfil corporativo.

A mensagem incluía um link para o site oficial do desenvolvedor, que parecia normal – tinha até um certificado SSL válido emitido pelo Comodo CA, um dos principais centros de certificação.

Fonte: Kaspersky

Minerador de criptomoedas foca ataques em PCs de empresas

O PowerGhost é um novo minerador de criptomoedas descoberto recentemente pela Kaspersky. De acordo com os especialistas da empresa, o malware tem como foco as redes corporativas e, por sua natureza “sem arquivo”, invade estações de trabalho e servidores das vítimas sem ser notado — o foco corporativo não impede que usuários domésticos acabem com dispositivos infectados.

Até o momento, a maioria dos ataques foram registrados no Brasil, Índia, Turquia e Colômbia

“Depois de invadir a infraestrutura de uma empresa, o PowerGhost tenta acessar contas de usuário de rede por meio da Instrumentação de Gerenciamento do Windows (WMI), ferramenta legítima de administração remota”, explica a Kaspersky. “O malware obtém logins e senhas com o uso de uma ferramenta de extração de dados chamada Mimikatz. O minerador também pode ser distribuído por meio do Eternal Blue, exploit para Windows usado pelos criadores do WannaCry e ExPetr. Teoricamente, essa vulnerabilidade foi corrigida por um ano, mas na prática continua em operação”.

Assim que o PowerGhost invade um computador, o malware tenta ampliar seus privilégios por meio de diversas vulnerabilidades do Sistema Operacional (veja a publicação no Securelist para detalhes técnicos). Depois disso, o minerador consegue um ponto de apoio no sistema e começa a faturar criptomoedas para seus desenvolvedores.

As equipes de Ti devem realizar as atualizações de softwares e de sistemas operacionais assim que possível — e essa dica serve também para você, usuário doméstico

O malware é perigoso porque usa os recursos computacionais do seu PC ou notebook para mineração. Isso significa que você terá um desempenho capado para seus trabalhos, um desgaste superior na vida útil e um custo extra de energia.

“No entanto, comparado com a maioria destes programas, o PowerGhost é mais difícil de detectar porque não baixa arquivos maliciosos para o dispositivo. E isso significa que pode operar por mais tempo disfarçado no seu servidor ou estação de trabalho, e causar mais danos”, afirma a Kaspersky. “Além disso, em uma versão do malware, nossos especialistas descobriram uma ferramenta para ataques DDoS. O uso dos servidores de uma empresa para bombardear outra vítima pode desacelerar ou até mesmo paralisar atividades operacionais. Uma característica interessante é a habilidade do malware de verificar se está sendo executado em um sistema operacional verdadeiro ou em uma sandbox, o que permite desviar de soluções de segurança comuns”.

Para evitar a infecção do PowerGhost, as equipes de Ti devem realizar as atualizações de softwares e de sistemas operacionais assim que possível — e essa dica serve também para você, usuário doméstico. Todas as vulnerabilidades exploradas pelo minerador já foram corrigidas pelos fornecedores. Criadores de vírus tendem a basear suas criações em exploits para vulnerabilidades corrigidas há muito tempo.

Fonte: Tecmundo

Tendência: Internet das coisas usada para minerar criptomoedas

Segundo pesquisa da Avast, seria necessário mais de 15 mil dispositivos para minerar US$ 1 mil em moedas de Monero ao longo dos quatro dias

Cibercriminosos podem usar vulnerabilidades de dispositivos de internet das coisas (IoT) para construir um exército para mineração de criptomoedas. É o que alerta a Avast, que, por meio de uma pesquisa, mostra que seria necessário um exército de mais de 15,8 mil dispositivos para minerar US$ 1 mil em moedas de Monero, ao longo dos quatro dias.

A empresa explica que os smartphones e dispositivos IoT, como Smart TVs ou webcams, frequentemente têm um poder muito baixo de computação, o que é ruim para a mineração. Por isso, cibercriminosos estão buscando atacar dispositivos em massa com o objetivo de maximizar o lucro. Em geral, a mineração em dispositivos IoT permanece imperceptível para o consumidor, o qual não nota quando o dispositivo aquece ou reduz o desempenho, ao contrário de um PC.

Gagan Singh, vice-presidente sênior e gerente geral para Mobile da Avast, diz que, até pouco tempo atrás, os cibercriminosos estavam focados na propagação de malwares para transformar PCs em máquinas de mineração de criptomoedas, mas agora também há um número maior de ataques mirando os dispositivos de IoT e smartphones.

“De acordo com os dados atuais da Shodan.io, uma pesquisa sobre coisas conectadas à internet apontou que mais de 58 mil dispositivos inteligentes em Barcelona estão vulneráveis. Se cada um desses dispositivos fosse recrutado por uma botnet para minerar Monero no Mobile World Congress, os cibercriminosos poderiam ganhar o equivalente a US$ 3.600 ou € 3.000. Os custos envolvidos na mineração são tão altos, que o lucro de criptomoedas é muito pequeno”, afirma o executivo, citando o Mobile World Congress e a cidade de Barcelona como exemplo.

Isso porque a Avast está realizando em seu estande um experimento de mineração de criptomoedas de Monero em uma Smart TV para aumentar a conscientização sobre o uso das vulnerabilidades dos dispositivos móveis e de IoT (Internet das Coisas).

Mirai

O complexo ecossistema de dispositivos de IoT em residências e locais públicos cria novas oportunidades para que os cibercriminosos comprometam a segurança e a privacidade das pessoas. Em 2017, surgiu a primeira botnet de IoT, uma nova versão da botnet Mirai, para minerar criptomoedas. Desde então, o risco dos cibercriminosos obterem o controle dos dispositivos IoT para lucrar com a mineração de criptomoedas aumentou. Para o usuário, isso pode gerar altas contas de energia, baixo desempenho e uma vida útil menor do dispositivo.

Fonte: IDGNow!

Crackers investem no roubo de dados via phishing

Estratégias de phishing também miram na iminente Copa do Mundo para lançar ciberataques, alerta Kaspersky Lab

O relatório “Spam e phishing em 2017”, produzido pela Kaspersky Lab, mostra que 29% dos usuários brasileiros foram afetados por campanhas de phishing no ano. Ao todo, a quantidade média de spam em 2017 diminuiu para 56,63%, o que representa 1,68% a menos do que em 2016. Ao mesmo tempo, o número de ataques de phishing aumentou. O sistema antiphishing da empresa russa de cibersegurança foi acionado 246 milhões vezes nos computadores de usuários da companhia – 59% mais do que no ano anterior.

Mas quais as principais estratégias dos crackers?

Segundo a Kaspersky Lab, os criminosos têm acompanhado os assuntos internacionais e usado temas em alta para enganar os usuários e roubar dinheiro ou informações pessoais. Os remetentes de spam se mostraram agentes atentos, monitorando instantaneamente questões globais com o objetivo principal de chamar e explorar a atenção das vítimas.

A Copa do Mundo de Futebol, que ocorre neste ano, foi um dos principais temas. Os remetentes de spam propagaram e-mails relacionados ao tema. Assim, enviaram às vítimas mensagens fraudulentas com logotipos oficiais do evento, incluindo informações dos organizadores e das marcas dos patrocinadores, que avisavam aos usuários sobre prêmios de sorteios e até prometendo ingressos gratuitos.

Outro tema em alta nos spams e golpes de phishing em 2017 são as criptomoedas, principalmente o bitcoin, que ganhou notoriedade com a disparada no seu preço. Os pesquisadores da Kaspersky Lab já tinham registrado um crescimento nos golpes com temas relacionados ao blockchain no terceiro trimestre de 2017. Até o final do ano, foi observado um amplo arsenal de ferramentas de envio de spam.

Estratégias

De acordo com as descobertas da empresa, os criminosos têm usado truques como sites disfarçados de bolsas de criptomoeda, serviços falsos oferecendo mineração na nuvem, ou seja, o uso de data centers especializados para locação. Mas, em todos os casos, os usuários se tornaram vítimas e perderam dinheiro.

Em esquemas de fraude mais tradicionais, como prêmios falsos de loterias, os criminosos também começaram a usar os bitcoins como isca. E, além dos bancos de dados de endereços visados anunciados por meio de spam, também foram oferecidos para compra bancos de dados com e-mails de usuários de criptomoedas, prometendo ótimas oportunidades.

Outras tendências e estatísticas importantes de 2017 destacadas pelos pesquisadores da Kaspersky Lab incluem:

– A fonte de spam mais popular foram os EUA (13,21%), seguidos da China (11,25%) e do Vietnã (9,85%). Outros dos dez países mais importantes incluem Índia, Alemanha, Rússia, Brasil, França e Itália.

– O país mais visado por envios de e-mails maliciosos foi a Alemanha (16,25%), com um leve aumento de 2,12 pontos percentuais em relação a 2016. Outros países dentre os dez principais incluem China, Rússia, Japão, Reino Unido, Itália, Brasil, Vietnã, França e Emirados Árabes Unidos.

– A maior porcentagem de usuários afetados por phishing ocorreu no Brasil (29,02%). No todo, 15,9% usuários exclusivos dos produtos da Kaspersky Lab no mundo todo foram atacados por golpes de phishing.

Fonte: IDGNow!