Os investigadores da Kaspersky Lab identificaram, recentemente, um grupo de hackers que utiliza ferramentas como técnicas APT para infetar utilizadores com software mineiro. Os hackers têm vindo a utilizar um método de criação de processos tipicamente utilizado em malware e que foi visto em alguns ataques direcionados por agentes APT, mas que nunca antes tinha sido observado em ataques de mineração.

O ataque funciona da seguinte forma: a vítima é levada a fazer download e a instalar um software publicitário que, no interior, esconde um instalador mineiro. Este instalador remove um utilitário do Windows com o objetivo de fazer download do mineiro através de um servidor remoto. Depois da execução, um processo de sistema legítimo arranca e o código legítimo deste processo é substituído pelo código malicioso. Como resultado o “mineiro” funciona sob o disfarce de uma tarefa legitima e é impossível para o utilizador reconhecer se há ou não uma infeção.

Detetar essa ameaça é também um desafio para soluções de segurança. Além disso, os mineiros marcam este novo processo pela forma como ele restringe o cancelamento de qualquer tarefa. Se o utilizador tentar parar o processo, o sistema informático será reiniciado. Deste modo, os hackers prolongam a sua presença produtiva no sistema.

Como observado pela Kaspersky Lab, os atores por trás desses ataques foram extraindo moedas da Electroneum e ganharam 7 milhões de dólares durante o segundo semestre de 2017, um valor comparável ao obtido pelos criadores de ransomware.

“É vísivel como, pouco a pouco, os ataques de ransomware dão lugar a ataques mineiros. As nossas estatísticas confirmam isso, mostrando um crescimento constante de mineiros ao longo do ano, bem como pelo fato de grupos de hackers estarem a desenvolver, ativamente os seus métodos e começaram a usar técnicas mais sofisticadas para disseminar software mineiro. Já vimos uma evolução semelhante, os criadores do ransomware usaram os mesmos truques quando estavam em pleno crescimento ", comenta Anton Ivanov, Principal Investigador de Malware da Kaspersky Lab.

Em 2017, 2,7 milhões de utilizadores foram vítimas de ataques de mineiros maliciosos, de acordo com dados da Kaspersky Lab. Mais 50% do que em 2016 (1,87 milhões). Os utilizadores vítimas de adware, jogos e software hackeados usados por hackers para infetar secretamente computadores. Outra abordagem usada é a utilização de um código especial localizado num site infetado. O mineiro web mais utilizado foi o CoinHive, encontrado em sites muito populares. 

Para estarem protegidos, a Kaspersky Lab recomenda que os seus utilizadores sigam os seguintes conselhos:

• Não aceder a sites desconhecidos nem a banners e anúncios duvidosos;
• Não descarregar nem abrir arquivos desconhecidos de fontes que não sejam seguras;
• Instalar uma solução de segurança como o Kaspersky Internet Security ou Kaspersky Free que detete e o proteja de todas as possíveis ameaças, incluindo o software mineiro malicioso.

Para as empresas, Kaspersky Lab recomenda o seguinte:

• Realizar com regularidade uma auditoria de segurança;
• Instalar uma solução de segurança em todos os endpoints e servidores, assegurando-se que todos os seus componentes estão habilitados a garantir a máxima proteção. Os clientes de Kaspersky Lab estão protegidos com o Kaspersky Endpoint Security for Business.

As principais tendências em ataques de mineração e as últimas descobertas em ameaças de criptomoedas vão ser discutidas pelos Investigadores de Segurança da Kaspersky Lab, no dia 9 de março de 2018: https://sas.kaspersky.com/