É verdade que para muitos, a mineração de criptomoedas ainda é uma incógnita. Mas também devemos ficar atentos sobre esse mercado, que tem crescido a grandes saltos. Constantemente monitoramos grupos, mercados e canais de IM de forma manual e também automaticamente, neste caso, nosso monitoramento revelou nos últimos meses um forte aumento no malware de mineração negociado em vários fóruns da Dark Web, onde residem hackers de várias comunidades clandestinas. Isso não surpreende, considerando o aumento do valor das criptomoedas desde o final de 2017. Como uma ramificação desse comércio, nos últimos meses, também foi observado um forte aumento nos ataques de malware na mineração.
Precisa de ajuda com malwares de mineração, fale conosco.
O aumento no comércio de malware de mineração é proveniente de cibercriminosos envolvidos em ataques contra bancos e seus clientes, que atualmente optam por se concentrar em ataques sofisticados. Por exemplo: durante essa investigação, foi possível identificar vendedores conhecidos de malwares bancários, começando a ofertarem malwares relacionados a mineração de criptomoedas. Estes malwares, por sua vez, podem ser divididos em dois tipos:
- Infecção por malware de mineração – detectamos um aumento no comércio de malware de mineração em comunidades de hackers, bem como um aumento no número de discussões relacionadas a esses tipos de ataques. Isso indica um interesse elevado neste campo e uma mudança de hackers anteriormente envolvidos em outras atividades criminosas para adquirir conhecimento e ferramentas de ataque no campo da mineração ilegal. Esses ataques têm como alvo um amplo escopo de usuários finais e servidores, e são projetados para aproveitar os recursos de seus sistemas para minerar a criptomoeda. Junto com a desaceleração do sistema infectado, o malware de mineração pode às vezes causar danos significativos ao hardware, como no caso do Troia Loapi Android que acionava o telefone com tanta força que sua bateria superaquecia e abria a tampa traseira do dispositivo.
- Ataques contra detentores de criptomoedas – sejam proprietários de carteira privada ou plataformas de troca de criptomoedas. Enquanto os primeiros são geralmente visados por ataques de phishing ou Man-in-the-Middle (MitM) projetados para roubar credenciais, o último é um ataque em larga escala projetado para roubar criptomoedas da plataforma de troca. Nós vemos um grande volume de evidências relacionadas ao primeiro tipo em fontes fechadas, mas o segundo tipo é geralmente coordenado fora dos fóruns de hackers.
O monitoramento automático identificou mais de 4.000 menções de “miner” em fóruns protegidos por senha foram identificadas no período entre 1 de setembro de 2017 e 24 de fevereiro de 2018, em comparação com apenas 1.000 para o mesmo período do ano anterior (validado posteriormente por analistas de forma manual). Além disso, um aumento acentuado no número de discussões pode ser claramente observado a partir de meados de outubro de 2017, após o aumento do preço do Bitcoin e outras criptomoedas. Na verdade, o número de discussões sobre plataformas dedicadas a hackers está correlacionado com as flutuações no valor do Bitcoin (com um pequeno atraso de dias).
Por exemplo, foram identificados dois importantes personagens no submundo russo, que geralmente oferecem “injeções” – páginas de sobreposição falsas projetadas para serem usadas junto com cavalos de Troia móveis para roubar credenciais de usuários (geralmente para aplicativos bancários e de e-commerce). Os personagens começaram a oferecer injeções direcionadas a usuários de carteiras Bitcoin populares durante o mesmo período em que o preço do Bitcoin aumentou.
Outro exemplo é o comércio de um novo malware de mineração chamado CryptoNight , que começou há alguns meses (10 de fevereiro de 2018). Por US$ 50, o autor oferece um “miner” para uma variedade de criptomoedas (aquelas que usam o algoritmo CryptoNight ou CryptoNight-lite), com uma taxa de detecção relativamente baixa (de acordo com testes executados por outros membros do fórum). O malware também possui recursos de stealer de clipboard projetados para roubar as credenciais das carteiras de criptomoedas mais populares (Bitcoin, Ethereum, Dogecoin e outros). Se for investir em criptomoedas, fique atento.