As criptomoedas têm causado certo alarde nos últimos tempos. Enquanto alguns governos trabalham para regulamentar as transações envolvendo o dinheiro digital, a Trend Micro observou a movimentação de cibercriminosos em atividades de mineração de criptomoeda.
Desde atividades que exploram as unidades de processamento gráfico (GPUs) do hardware até aquelas que se beneficiam dos dispositivos móveis do usuário. Os cibercriminosos estão também de olho nessa tendência e a Deep Web está atualmente repleta de ofertas de malware para criptomoeda.
O criptomalware pode alcançar o lucro por meio de dois métodos diferentes: roubo ou mineração de criptomoeda em dispositivos sem que as vítimas percebam, um processo também conhecido como cryptojacking. A Trend Micro detalha abaixo como estes dois métodos funcionam, e se os dispositivos conectados à Internet da Coisas (IoT), que são relativamente menos potentes, estão sendo atacados.
Assim como o malware comum, o criptomalware pode assumir diferentes formas, desde scripts de web ou disfarçando-se sob aplicativos móveis. Outro ponto que contribui para o aumento do malware de mineração é a popularidade dos serviços online que tornam o processo muito mais fácil. De acordo com a Trend Micro, foi constatado um aumento no malware de mineração de criptomoeda na máquina do usuário com base em web escritos em JavaScript.
No entanto, esta ameaça não está restrita apenas aos computadores. Quase todos os dispositivos conectados à Internet podem ser parte de um botnet de mineração. De acordo com Fernando Mercês – pesquisador Sênior da Trend Micro, os criminosos precisam apenas do código necessário para fazer isto acontecer. E adivinhe: eles já estão adiantados nessa tarefa.
O modus operandi do malware de mineração da criptomoeda é composto dos seguintes passos:
1. Um código Dropper é executado no dispositivo da vítima, via scripts ou por meio de executáveis adequados. Para isto, os cibercriminosos podem atacar as infraestruturas do computador exposto, lançar ataques de phishing, ou usar maliciosamente as ferramentas como extensões do navegador, aplicativos móveis e mensagens instantâneas;
2. Em seguida, o código Miner é executado no dispositivo da vítima e usa seu poder de computação para calcular os hashes. Neste momento, a vítima pode notar um desempenho mais lento do dispositivo ou, no caso de um computador, ventoinhas mais barulhentas para evitar o superaquecimento da máquina;
3. Os resultados dos cálculos são enviados de volta para o hacker ou diretamente para um pool de mineração online, malicioso (estabelecido exclusivamente para dar suporte ao cibercrime) ou não. O hacker então converte os resultados em criptomoedas.
O malware de roubo de criptomoeda é diferente do malware de mineração da criptomoeda nas seguintes etapas:
O código malicioso pode procurar endereços de carteiras no armazenamento local (documentos de texto ou arquivos de configuração) e monitorar a memória do dispositivo, incluindo a área de transferência. Desta maneira, quando a vítima copia e cola um endereço da carteira, o malware pode substituí-lo pelo seu próprio endereço. Este comportamento é semelhante ao do malware Broban, difundido no Brasil em 2015, e que usava técnicas parecidas para redirecionar o destino de boletos de pagamento;
1. O malware intercepta as transações em criptomoeda. Para cada transação, a quantidade, independentemente do valor, é direcionada para as carteiras dos criminosos sem que o usuário perceba.
A variedade de outros tipos de ataques foi também constatada: foram identificadas páginas da web de phishing para câmbios de criptomoeda, mixers e outros serviços relacionados (similar ao que acontece com os websites de serviços bancários online).
IoT como alvo do malware de criptomoeda
O poder de computação dos smartphones e dispositivos IoT é muito menor do que aquele dos servidores e até mesmo dos notebooks. Ainda assim, é notável a criação de malwares de mineração de criptomoeda para infectar estes dispositivos. Um exemplo disso é o DroidMiner, anunciado em um fórum em 2017.
No mesmo fórum, outro agente ofereceu um minerador Monero para roteadores, disponível para diferentes arquiteturas.
Anúncio de minerador de Monero em fórum clandestino
De fato, o malware de criptomoeda está ganhando força em fóruns clandestinos, com alguns dedicados a explorar se os dispositivos conectados comprometidos são uma empreitada plausível. De fato, esta prática específica, ainda não é tão lucrativa como outros criminosos podem achar – pelo menos, não ainda.
Os detalhes sobre as descobertas da Trend Micro em relação à mineração de criptomoeda no mercado clandestino, incluindo quais são as criptomoedas que sofrem mais ataques e os recursos anunciados de malware, podem ser encontrados aqui.