Darktrace alerta para nova campanha de cryptojacking capaz de contornar o Windows Defender Campanhas de cryptojacking através de engenharia social

A empresa de cibersegurança Darktrace identificou uma nova campanha de cryptojacking projetada para contornar o Windows Defender e implantar um software de mineração de criptomoedas.

A campanha de cryptojacking, identificada pela primeira vez no final de julho, envolve uma cadeia de infecção em múltiplos estágios que sequestra silenciosamente o poder de processamento de um computador para minerar criptomoedas, explicaram as pesquisadoras da Darktrace, Keanna Grelicha e Tara Gould, em um relatório compartilhado com a crypto.news.

De acordo com as pesquisadoras, a campanha tem como alvo específico sistemas baseados em Windows, explorando o PowerShell, o shell de linha de comando e linguagem de script embutido da Microsoft, através do qual agentes maliciosos conseguem executar scripts maliciosos e obter acesso privilegiado ao sistema hospedeiro.

Esses scripts maliciosos são projetados para rodar diretamente na memória do sistema (RAM) e, como resultado, ferramentas antivírus tradicionais que normalmente dependem da varredura de arquivos nos discos rígidos do sistema não conseguem detectar o processo malicioso.

Subsequentemente, os atacantes utilizam a linguagem de programação AutoIt, que é uma ferramenta do Windows normalmente usada por profissionais de TI para automatizar tarefas, para injetar um carregador malicioso em um processo legítimo do Windows, que então faz o download e executa um programa de mineração de criptomoedas sem deixar rastros óbvios no sistema.

Como uma linha adicional de defesa, o carregador é programado para realizar uma série de verificações de ambiente, como escanear sinais de ambiente sandbox e inspecionar o host em busca de produtos antivírus instalados.

A execução só prossegue se o Windows Defender for a única proteção ativa. Além disso, se a conta de usuário infectada não tiver privilégios administrativos, o programa tenta um bypass do Controle de Conta de Usuário para obter acesso elevado.

Quando essas condições são atendidas, o programa faz o download e executa o NBMiner, uma ferramenta de mineração de criptomoedas bem conhecida que utiliza a unidade de processamento gráfico do computador para minerar criptomoedas como Ravencoin (RVN) e Monero (XMR).

Neste caso, a Darktrace conseguiu conter o ataque usando seu sistema de Resposta Autônoma, “impedindo que o dispositivo fizesse conexões de saída e bloqueando conexões específicas para endpoints suspeitos.”

“À medida que as criptomoedas continuam crescendo em popularidade, como visto com a contínua alta valorização da capitalização de mercado global de criptomoedas (quase USD 4 trilhões no momento da redação), agentes maliciosos continuarão vendo a mineração de criptomoedas como um empreendimento lucrativo,” escreveram as pesquisadoras da Darktrace.

Campanhas de cryptojacking via engenharia social

Em julho, a Darktrace sinalizou uma campanha separada em que agentes maliciosos estavam usando táticas complexas de engenharia social, como se passar por empresas reais, para enganar usuários e levá-los a baixar softwares alterados que implantam malware para roubo de criptomoedas.

Diferente do esquema de cryptojacking mencionado acima, essa abordagem tinha como alvo tanto sistemas Windows quanto macOS e era executada pelas próprias vítimas desavisadas, que acreditavam estar interagindo com funcionários internos da empresa.