Malware de mineração de criptomoeda ainda permanece como ameaça

malwareEmbora os serviços de mineração de criptomoeda, como o Coinhive, tenham encerrado no último mês de março, os criptomineradores ainda são os malwares mais predominantes nas organizações em todo o mundo, segundo o Índice Global de Ameaças referente ao mês de março de 2019, da Check Point Research.

Segundo pesquisadores da companhia, é a primeira vez desde dezembro de 2017 que o Coinhive caiu da primeira posição, mas, apesar de ter operado apenas oito dias em março, ainda era o sexto malware mais comum a afetar as companhias durante o mês. No seu auge, o Coinhive impactou 23% das organizações em todo o mundo.

Atualmente, muitos sites ainda possuem o código JavaScriptCoinhive e, mesmo sem atividade de mineração, os pesquisadores da Check Point avisam que o Coinhive pode ser reativado se o valor do Monero (criptomoeda de código aberto) aumentar. A expectativa é que outros serviços de mineração também aumentem a sua atividade para aproveitar a ausência do Coinhive.

De acordo com Maya Horowitz, diretora de Inteligência de Ameaças e Pesquisa da Check Point, “com os valores de criptomoedas caindo em geral desde 2018, veremos mais criptomineradores para navegadores seguindo os passos do Coinhive e cessando a operação”.

“No entanto, suspeito que os criminosos virtuais encontrarão formas de ganhar com atividades de criptomineração mais robustas, utilizando ambientes em nuvem para mineração. Vimos organizações pagando centenas de milhares de dólares a seus provedores de serviços em nuvem pelos recursos de computação usados ​​ilicitamente pelos criptomineradores. Esta é uma chamada de ação para as organizações protegerem seus ambientes de nuvem”, reforça Maya.

Fonte: itmidia

Presentes na Windows store, apps mineravam criptomoedas secretamente

Em janeiro, pesquisadores de segurança da Symantec descobriram aplicativos criptomineradores na Microsoft App Store, os quais foram publicados na loja entre abril e dezembro de 2018. Não está claro quantos usuários baixaram ou instalaram os aplicativos, mas eles tinham quase 1.900 avaliações de usuários.

Os aplicativos maliciosos colocados como navegadores, mecanismos de pesquisa, downloaders de vídeos do YouTube, VPN e otimizadores de computadores foram enviados por três contas de desenvolvedores chamados DigiDream, 1clean e Findoo. No entanto, os pesquisadores da Symantec acreditam que os aplicativos foram criados por uma única pessoa ou pelo mesmo grupo de invasores, já que todos compartilham o mesmo domínio de origem no back-end.

“Assim que os aplicativos são baixados e lançados, eles buscam uma biblioteca JavaScript de mineração de moedas acionando o Gerenciador de Tags do Google (GTM) em seus servidores de domínio”, disseram os pesquisadores da Symantec em um relatório na sexta-feira. “O script de mineração é ativado e começa a usar a maioria dos ciclos da CPU do computador para minerar o Monero para os operadores. Embora esses aplicativos pareçam fornecer políticas de privacidade, não há menção à mineração de moedas em suas respectivas descrições na loja de aplicativos”.

Os programas foram publicados como Progressive Web Applications (PWA), um tipo de aplicativo que funciona como uma página da Web, mas também tem acesso ao hardware do computador por meio de APIs, podendo enviar notificações push, usar armazenamento off-line e se comportar como um programa nativo. No Windows 10, esses aplicativos são executados independentemente do navegador, em um processo autônomo chamado WWAHost.exe.

Quando executados, os aplicativos sinalizam o GTM, um serviço legítimo que permite aos desenvolvedores injetarem dinamicamente o JavaScript em seus aplicativos. Todos os apps usam a mesma chave única do GTM, o que sugere que eles foram criados pelo mesmo desenvolvedor.

O script carregado pelos aplicativos é uma variante do Coinhive, um minerador de criptomoeda baseado em Web que foi usado no passado por invasores para infectar sites e sequestrar recursos da CPU dos visitantes.

“Informamos a Microsoft e o Google sobre os comportamentos desses aplicativos’, disseram os pesquisadores da Symantec. “A Microsoft removeu os aplicativos de sua loja. O JavaScript de mineração também foi removido do Gerenciador de Tags do Google”.

Este incidente mostra que a mineração com criptomoedas continua sendo de grande interesse para os cibercriminosos. Seja para sequestrar computadores pessoais ou servidores em datacenters, eles estão sempre à procura de novas maneiras de implantar mineradores.

Nos últimos dois anos, os invasores lançaram ataques de mineração de moedas por meio de aplicativos Android hospedados no Google Play, por extensões de navegador para o Google Chrome e Mozilla Firefox, por aplicativos de desktop comuns, por sites comprometidos (roubados ou hackeados) e agora pelo PWA do Windows 10. Há também uma variedade de botnets que infectam servidores Linux e Windows com programas de mineração de criptomoedas, explorando vulnerabilidades em aplicativos e plataformas populares da Web.

Os usuários geralmente são aconselhados a fazer o download apenas de aplicativos de fontes confiáveis, seja em dispositivos móveis ou computadores. No entanto, com aplicativos desonestos que frequentemente chegam às lojas de aplicativos oficiais, confiar apenas naqueles conselhos para proteção não é mais uma opção.

Fonte: itmidia

Tendência: Internet das coisas usada para minerar criptomoedas

Segundo pesquisa da Avast, seria necessário mais de 15 mil dispositivos para minerar US$ 1 mil em moedas de Monero ao longo dos quatro dias

Cibercriminosos podem usar vulnerabilidades de dispositivos de internet das coisas (IoT) para construir um exército para mineração de criptomoedas. É o que alerta a Avast, que, por meio de uma pesquisa, mostra que seria necessário um exército de mais de 15,8 mil dispositivos para minerar US$ 1 mil em moedas de Monero, ao longo dos quatro dias.

A empresa explica que os smartphones e dispositivos IoT, como Smart TVs ou webcams, frequentemente têm um poder muito baixo de computação, o que é ruim para a mineração. Por isso, cibercriminosos estão buscando atacar dispositivos em massa com o objetivo de maximizar o lucro. Em geral, a mineração em dispositivos IoT permanece imperceptível para o consumidor, o qual não nota quando o dispositivo aquece ou reduz o desempenho, ao contrário de um PC.

Gagan Singh, vice-presidente sênior e gerente geral para Mobile da Avast, diz que, até pouco tempo atrás, os cibercriminosos estavam focados na propagação de malwares para transformar PCs em máquinas de mineração de criptomoedas, mas agora também há um número maior de ataques mirando os dispositivos de IoT e smartphones.

“De acordo com os dados atuais da Shodan.io, uma pesquisa sobre coisas conectadas à internet apontou que mais de 58 mil dispositivos inteligentes em Barcelona estão vulneráveis. Se cada um desses dispositivos fosse recrutado por uma botnet para minerar Monero no Mobile World Congress, os cibercriminosos poderiam ganhar o equivalente a US$ 3.600 ou € 3.000. Os custos envolvidos na mineração são tão altos, que o lucro de criptomoedas é muito pequeno”, afirma o executivo, citando o Mobile World Congress e a cidade de Barcelona como exemplo.

Isso porque a Avast está realizando em seu estande um experimento de mineração de criptomoedas de Monero em uma Smart TV para aumentar a conscientização sobre o uso das vulnerabilidades dos dispositivos móveis e de IoT (Internet das Coisas).

Mirai

O complexo ecossistema de dispositivos de IoT em residências e locais públicos cria novas oportunidades para que os cibercriminosos comprometam a segurança e a privacidade das pessoas. Em 2017, surgiu a primeira botnet de IoT, uma nova versão da botnet Mirai, para minerar criptomoedas. Desde então, o risco dos cibercriminosos obterem o controle dos dispositivos IoT para lucrar com a mineração de criptomoedas aumentou. Para o usuário, isso pode gerar altas contas de energia, baixo desempenho e uma vida útil menor do dispositivo.

Fonte: IDGNow!

2018: o ano dos malwares que mineram Bitcoin

A popularização das criptomoedas trouxe não apenas a possibilidade de investir em ativos não controlados por governos, mas também inúmeras possibilidades para novas fraudes. As mais comuns, de acordo com o serviço de bloqueio de anúncios AdGuard, são conhecidas como “crypto-jacking”, quando um hacker malicioso utiliza o poder computacional de computadores, smartphones e outros dispositivos de suas vítimas para minerar Bitcoin e outras criptomoedas sem autorização.

A AdGuard afirma que já foram identificados mais de 33 mil sites infectados com malwares de crypto-jacking, os quais computaram mais de um bilhão de visitas únicas em 2017. Esses criminosos teriam conseguido minerar mais de US$ 150 mil com a atividade sem gastar um centavo com estruturas de mineração ou conta de eletricidade. A tendência, infelizmente, é que, em 2018, essas ameaças “seja encontradas nos lugares mais inesperados”.

Foram encontrados em sites, apps, games, extensões para navegadores e, naturalmente, em banners de anúncios na web

Em um relatório sobre o tema, pesquisadores da AdGuard comentam sobre a disseminação da fraude. “Os códigos de scripts de mineração foram encontrados em sites, apps, games, extensões para navegadores e, naturalmente, em banners de anúncios na web. Anúncios frequentemente são infectados com malware ou scripts de mineração por hackers que invadem redes, portanto até anúncios de fontes confiáveis e conhecidas podem ser perigosos”, alerta o relatório.

Existe uma série de extensões para Google Chrome e Mozilla Firefox que conseguem bloquear esse tipo de ataque em seu computador. Contudo, vale destacar que a versão mais recente do Opera vem com proteção contra crypto-jacking embutida.

Fonte: Tecmundo

Como bloquear sites que usam seu PC para minerar criptomoedas

Você sabia que alguns sites usam scripts de computadores pessoais para minerar criptomoedas? A prática, além de não ser segura, pode deixar o seu PC lento e prejudicar nas tarefas do dia a dia, aumentando também o consumo de energia.

Recentemente, o Pirate Bay virou notícia após ser descoberto por executar a mineração indevida. Entre as criptomoedas coletadas pela atividade estão Bitcoins, Monero, Ethereum, LiteCoin, entre outros.

Ao contrário do que parece, a mineração não é um processo difícil de executar, mas evitar que isso aconteça com o seu PC também é simples. Confira algumas dicas de como bloquear sites que mineram moedas pelo seu computador.

Extensões

Algumas extensões para navegadores foram desenvolvidas para evitar a prática indevida da mineração.

Chrome: No navegador do Google, a mineração pode ser bloqueada com as extensões No Coin, ScriptSafe e No Mining.
Firefox: Os add-ons Mining Blocker e NoScript executam a função no navegador da Mozilla.

Arquivos Hosts

Os arquivos hosts são usados para bloquear sites no seu computador; veja como fazer:

No Windows, aperte as teclas “Windows + R” para abrir o Executar.

Digite “notepad %windir%\system32\drivers\etc\hosts” e aperte “Enter”.

Com o arquivo aberto no Bloco de Notas, insira uma linha com: 0.0.0.0 coin-hive.com.

Salve o arquivo e feche.

– No Mac, busque pelo Terminal.

– Digite o comando “sudo nano /private/etc/hosts”, digite a sua senha de administrador, se necessário, e aperte “Enter”.

– Com o arquivo de hosts aberto, insira uma linha com “0.0.0.0 coin-hive.com”, salve e feche.

Com o navegador Tor

O navegador Tor, disponível para Windows e Mac, foi criado para quem preza pela segurança na internet. Com ele, o usuário navega sem ser rastreado e evita não só as minerações, mas também a invasão de malwares.

Fonte: Tecmundo

Serviço de mineração de criptomoeda é hackeado

O serviço de mineração de moeda virtual por JavaScript Coinhive, um dos sistemas mais utilizados, foi vítima de um ataque hacker nessa segunda-feira.
A empresa admitiu que invasores acessaram o registro DNS do domínio com o objetivo de redirecionar usuários para uma versão comprometida do JavaScript do serviço com seu próprio código.

O sistema funciona disponibilizando um script para administradores de sites que pode ser customizado para processar moedas virtuais em nome da carteira digital do cliente. Visitantes dos sites tem sua CPU sequestrada para o propósito de gerar hashes da moeda virtual Monero e o resultado é depositado na conta do administrador do site que optou pelo esquema de monetização, com a Coinhive descontando uma taxa para sua operação.

Mas os invasores conseguiram sabotar o processo ao fazer com que os sites cadastrados no serviço parassem de carregar o código JavaScript oficial do Coinhive e passassem a utilizar um código JavaScript criado pelos criminosos para gerar hashes de moeda virtual apenas para sua própria carteira digital, ignorando as contas dos sites.

A própria Cloudfare, que administra o registro DNS do Coinhive, deu o alerta de que havia algo errado nas configurações. Uma investigação apontou que os hackers conseguiram as credenciais de acesso a partir de uma combinação de login e senha antigos da empresa na plataforma, possivelmente uma combinação reaproveitada que já havia sido vazada anteriormente na brecha de segurança do Kickstarter de 2014.

Em um comunicado aos usuários, a Coinhive afirmou que “aprendemos lições duras sobre segurança e usamos 2FA e senhas únicas com todos os serviços desde então, mas negligenciamos a atualização da nossa conta Cloudflare antiga. Estamos profundamente arrependidos por esta severa negligência”.
Para reforçar o pedido de desculpas, a empresa ofereceu 12 horas extras de faturamento, baseados na média diária, para todos os clientes do serviço de mineração digital.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Código Fonte UOL

Milhões de PCs são usados como mineradores criptomoeda sem consentimento

De acordo com informações recentes, mais de 500 milhões de PCs estão sendo usados para mineração de Bitcoin e outras moedas virtuais sem o consentimento dos usuários.

Segundo a pesquisa realizada pela AdGuard, desenvolvedora do bloqueador de anúncios com o mesmo nome, ela encontrou 220 sites populares que utilizam os PCs dos visitantes para mineração das moedas virtuais sem o seu consentimento.

Os sites fazem isso executando scripts como o CoinHive em segundo plano quando os usuários visitam os sites.

O maior número de PCs infectados com este tipo de script está nos Estados Unidos. A índia fica em segundo lugar, seguida pela Rússia e pelo Brasil.

Depois de infectar o computador, o script passa a utilizar o processador do computador do usuário para mineração de Bitcoin e outras moedas virtuais. Com isso o PC acaba ficando lento, já que seus recursos estão sendo utilizados pelo script.

Os pesquisadores encontraram o script em sites com reputação “questionável”, mas no futuro é bem possível que este tipo de coisa se torne uma forma comum de fazer dinheiro na Web.

O CoinHive foi lançado em 14 de setembro e embora sua presença em 220 sites pareça algo pequeno, o crescimento no seu uso foi bem rápido.

Bloqueadores de anúncios como o próprio AdGuard e o Adblock Plus já são capazes de detectar e bloquear o CoinHive. Alguns softwares antivírus, como o Bitdefender Free na imagem abaixo, também são capazes de detectá-lo e removê-lo do computador.

Agradecemos ao Igor, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo