De acordo com a gigante do mercado tecnológico, Microsoft, o Windows Defender teria conseguido evitar que uma enorme campanha de mineração da Electroneum (ETN) se espalhasse por 400.000 computadores em um período de 12 horas.
Uma das bases da empresa, a que fica na cidade de Redmond, Washington, revelou que a campanha tentou infectar suas vítimas com uma variante do Dofoil – conhecido como Smoke Leader – um programa malicioso que abre acesso para hackers nas máquinas das vítimas.
Na publicação, a Microsoft diz:
“Nas próximas 12 horas, mais de 400 mil instâncias foram registradas, sendo 73% na Rússia. A Turquia representou 18% e a Ucrânia 4% dos encontros globais”.
A empresa alega que conseguiu descobrir imediatamente o ataque graças aos seus modelos de aprendizagem de máquinas baseados em comportamento e em nuvem. Estes, quase imediatamente pegaram o malware, classificaram-no como uma ameaça e, em poucos minutos, começaram a bloqueá-lo.
A criptomoeda que o ataque tentou acessar nos computadores da vítima suporta supostamente o NiceHash, o que significa que poderia extrair criptomoedas diferente. Nesse caso, o programa malicioso de mineração, tentou minerar Electroneum.
Como o ataque de mineração da Electroneum funcionou?
Os relatórios sugerem que a variante Dofoil tentou injetar código malicioso em um processo legítimo do sistema operacional chamado explorer.exe. Uma vez que o código malicioso foi injetado, o reprodutor de malware procederia ao download do minerador de criptomoedas, chamado “coinminer”.
Coinminer em si era disfarçado como um binário do Windows para evitar suscitar suspeitas. O Windows Defender da Microsoft o identificou porque, embora parecesse legítimo, ele estava sendo executado a partir do local de disco errado.
Além disso, o malware estava gerando tráfego suspeito, pois tentava entrar em contato com seu servidor de comando e controle (C&C). O servidor C&C estava localizado na infra-estrutura descentralizada da rede Namecoin, que é conhecida por ter outras famílias de malwares armazenadas em seus domínios .bit.
Os usuários do Windows 10, Windows 8.1 e Windows 7 que executam o Windows Defender estão protegidos contra esses tipos de ataques.
Recentemente um ataque feito a smartphones também tinha a intenção de lucrar com criptomoedas. Contudo, o verdadeiro objetivo do malware era de criar um clone de aplicativos de carteiras. Ele se instalava através de fontes da internet e se disfarçava como uma carteira legítima. Quando o usuário fosse usar o app, o malware era executado instantaneamente e cobria a janela da app real. Sem o usuário ficar sabendo, ele colocava login e senha de sua conta, acreditando esta usando o app legítimo, quando na verdade estava utilizando um clonado que foi substituído sem que ele percebesse.
A regra sempre é a mesma, mantenha sempre seu computador e smartphone com antivírus atualizados. Pois, as vezes, só é preciso apenas um pop-up malicioso para infectar todo o seu computador e fazer com que sua vida vire de pernas para o ar.
Comentários encerrados.