Minerador de criptomoeda se dissemina por meio do Messenger do Facebook

Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – encontrou um novo bot de mineração de criptomoeda que passou a se disseminar pelo messenger do Facebook, observado pela primeira vez na Coreia do Sul.

Batizado pela Trend Micro como Digmine, o bot foi citado em um relatório de ocorrências recentes relacionadas na Coreia do Sul. O Digmine foi também observado se disseminando em outras regiões, como Vietnã, Azerbaijão, Ucrânia, Vietnã, Filipinas, Tailândia e Venezuela. No entanto, o Digmine deve logo chegar em outros países, devido a sua forma de propagação.

O messenger do Facebook funciona em diferentes plataformas, mas o malware afeta apenas a versão do navegador web (Chrome). Se o arquivo for aberto em outras plataformas (por exemplo, celular), o malware não funcionará da forma correta.

Se a conta do Facebook do usuário estiver configurada para iniciar sessão de forma automática, o Digmine consegue manipular o Messenger do Facebook fazendo com que seja enviado um link com o arquivo para os amigos do usuário.

Por enquanto, o Facebook só é explorado para propagar o bot, mas no futuro é possível que os hackers sequestrem a conta do Facebook do usuário. O código do recurso é impelido do servidor de comando e controle (C&C), ou seja, pode ser atualizado.

Cadeia de ataque do Digmine

Imagem inline 1

Um modus operandi comum dos botnets de mineração de criptomoeda, e particularmente do Digmine (que faz mineração de Monero), é permanecer no sistema da vítima o maior tempo possível. O objetivo também é infectar o máximo de máquinas que for possível, pois isso se traduz em um hashrate maior e potencialmente gera mais renda para o cibercriminoso.

Etapas da Infecção
O Digmine é um downloader que primeiro se conecta ao servidor de C&C para ler sua configuração e baixar vários componentes. A configuração inicial contém links para baixar os componentes, a maioria também hospedados no mesmo servidor de C&C. Ele salva os componentes baixados por download no diretório %appdata%\<username>.

O Digmine também executa outras rotinas, como a instalação de um mecanismo de autostart da inscrição, e um marcador de infecção do sistema. O Chrome é iniciado e então carrega uma extensão maliciosa no navegador, recuperada do servidor de C&C. Se o Chrome já estiver em execução, o malware fecha e abre novamente o programa para garantir que a extensão seja carregada. As extensões só podem ser carregadas e hospedadas na Chrome Web Store, mas os cibercriminosos ignoram isso e iniciam o Chrome (com a extensão maliciosa) através da linha de comando.

A extensão lê sua própria configuração a partir do servidor de C&C. Consequentemente, a própria extensão leva ao login no Facebook ou abert ura de uma página falsa que reproduz um vídeo, também parte da estrutura de C&C.

O site fake se passa por um site de transmissão de vídeo, mas também tem muitas configurações para os componentes do malware.

Smarthint
olist
Performa.AI
Edrone

Disseminação

A extensão do navegador é responsável pela disseminação via interação com o Chrome e, por extensão, com o Messenger do Facebook. Esta rotina é desencadeada por condições disponíveis no arquivo de configuração recuperado do servidor de C&C.

Se o usuário fizer login automaticamente no Facebook, a extensão do navegador pode interagir com sua conta, baixando outro código do servidor de C&C. A interação do Digmine com o Facebook pode ter mais funções no futuro, sendo que pode adicionar mais códigos.

Componente de mineração

O módulo de mineração é baixado pelo codec.exe, um componente de gestão da mineração. Ele se conecta a outro servidor de C&C para recuperar o bot e seu arquivo de configuração.

O componente de mineração miner.exe é uma interação de um bot de mineração Monero de código aberto conhecido como XMRig. O bot de mineração foi reconfigurado para executar com um arquivo config.json em vez de receber parâmetros diretamente da linha de comando.

Comunicação e Protocolo da C&C
Tanto o componente de downloader quanto o de gestão da mineração usam cabeçalhos HTTP específicos para se comunicar com o servidor de C&C. Ao baixar a configuração inicial, o malware constrói a solicitação HTTP GET antes de enviar para o servidor de C&C:

GET /api/apple/config.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Miner
Window: <Window name of active window>
ScriptName: <filename of malware>
OS: <OS version>
Host: <C&C>

Um diferencial é a forma que o malware usa um User-Agent específico batizado de Miner, que nega o acesso ao arquivo de configuração inicial caso o cabeçalho HTTP da solicitação esteja incorreto.

Práticas recomendadas

A crescente popularidade da mineração de criptomoeda faz com que criminosos se voltem para o negócio com botnets de mineração. E, como a maioria dos esquemas de cibercriminosos, os números são cruciais: quanto maior o número de vítimas, maior o lucro.

O fato de explorarem plataformas populares como as redes sociais para espalhar o malware não é surpreendente. Para evitar esse tipo de ameaças, veja abaixo as práticas recomendadas pela Trend Micro para proteger as contas em redes sociais: pense antes de compartilhar, fique ligado em mensagens suspeitas e não solicitadas e ative as configurações de privacidade da sua conta.

Em tempo

A Trend Micro compartilhou as descobertas com o Facebook, que rapidamente removeu muitos dos links com Digmine de sua plataforma. O comunicado oficial do Facebook afirmou, “temos diversos sistemas automatizados para ajudar a impedir que links e arquivos prejudiciais apareçam no Facebook e no Messenger. Se suspeitarmos que seu computador esteja infectado com um malware, forneceremos uma verificação gratuita antivírus de nossos parceiros de confiança. Compartilhamos dicas de como se proteger e links para essas verificações facebook.com/help.”

Avatar
Fundado no ano de 2009, o E-Commerce News é um site projetado para profissionais de todas as áreas, interessados nos mais recentes conteúdos sobre o e-commerce no Brasil e no mundo.
  • Todos Fornecedores
  • Armazenamento
  • Consultoria
  • Entrega
  • Marketplace
  • Performance
  • Plataformas
    • Gestão de Anúncios
    • Atendimento ao Cliente
    • E-Mail Marketing
    • Sistema de ERP
    • Pagamento Online
    • Mídias Sociais
    • Plataforma de E-Commerce
    • Precificação Dinâmica
    • Vitrine Personalizada
  • Serviços
    • Escola Especializada
    • Logística
    • Agência Especializada
    • Redirecionamento de Encomendas
  • Soluções
 
Moovin
EZ Commerce
Rakuten
Bling
Accesstage
Mailbiz
LojaMestre
Neoassist
DLojavirtual
Dotstore
Seri.e Design
GhFly
E-Millennium
Bis2Bis
Bluefoot
F1soluções
Xtech Commerce
ComSchool
Brasil na Web
Nação Digital
E-Commerce Logística
Socialrocket
Precode
Smarthint
JET e-business
 

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.