A empresa de cibersegurança Darktrace identificou uma nova campanha de cryptojacking destinada a contornar o Windows Defender e a implantar um software de mineração cripto.
Resumo
A Darktrace identificou uma campanha de cryptojacking que tem como alvo sistemas Windows.
A campanha envolve a implementação discreta do NBminer para minerar criptomoedas.
A campanha de cryptojacking, identificada pela primeira vez no final de julho, envolve uma cadeia de infecção em múltiplas etapas que sequestra silenciosamente o poder de processamento de um computador para minerar criptomoeda, explicaram os pesquisadores da Darktrace, Keanna Grelicha e Tara Gould, em um relatório compartilhado com a crypto.news.
De acordo com os investigadores, a campanha visa especificamente sistemas baseados em Windows, explorando o PowerShell, o shell de linha de comando e a linguagem de script integrados da Microsoft, através da qual os agentes maliciosos conseguem executar scripts maliciosos e obter acesso privilegiado ao sistema anfitrião.
Esses scripts maliciosos são projetados para serem executados diretamente na memória do sistema (RAM) e, como resultado, as ferramentas tradicionais de antivírus que normalmente dependem da varredura de arquivos nos discos rígidos de um sistema não conseguem detectar o processo malicioso.
Subsequentemente, os atacantes usam a linguagem de programação AutoIt, que é uma ferramenta do Windows normalmente utilizada por profissionais de TI para automatizar tarefas, para injetar um carregador malicioso em um processo legítimo do Windows, que então baixa e executa um programa de mineração cripto sem deixar vestígios óbvios no sistema.
Como uma linha adicional de defesa, o carregador é programado para realizar uma série de verificações de ambiente, como escanear sinais de um ambiente sandbox e inspecionar o host em busca de produtos antivírus instalados.
A execução só prossegue se o Windows Defender for a única proteção ativa. Além disso, se a conta de utilizador infetada não tiver privilégios administrativos, o programa tenta contornar o Controle de Conta de Utilizador para obter acesso elevado.
Quando essas condições são atendidas, o programa baixa e executa o NBMiner, uma ferramenta de mineração cripto bem conhecida que utiliza a unidade de processamento gráfico de um computador para minerar criptomoedas como Ravencoin (RVN) e Monero (XMR).
Neste caso, a Darktrace conseguiu conter o ataque utilizando o seu sistema de Resposta Autónoma ao "impedir que o dispositivo fizesse conexões de saída e bloqueando conexões específicas a pontos finais suspeitos."
“À medida que as criptomoedas continuam a crescer em popularidade, como se pode ver com a elevada valorização em curso da capitalização de mercado global das criptomoedas (quase 4 trilhões de USD no momento da escrita), os agentes de ameaça continuarão a ver a mineração cripto como um empreendimento lucrativo,” escreveram os pesquisadores da Darktrace.
Campanhas de cryptojacking via engenharia social
Em julho, a Darktrace sinalizou uma campanha separada onde actores maliciosos estavam a utilizar táticas complexas de engenharia social, como a usurpação de empresas reais, para enganar os utilizadores a descarregar software alterado que implementa malware para roubo de cripto.
Ao contrário do esquema de cryptojacking mencionado anteriormente, esta abordagem visava tanto sistemas Windows como macOS e foi executada pelos próprios vítimas inconscientes que acreditavam estar a interagir com pessoas internas da empresa.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Darktrace sinaliza nova campanha de cryptojacking capaz de contornar o Windows Defender
A empresa de cibersegurança Darktrace identificou uma nova campanha de cryptojacking destinada a contornar o Windows Defender e a implantar um software de mineração cripto.
Resumo
A campanha de cryptojacking, identificada pela primeira vez no final de julho, envolve uma cadeia de infecção em múltiplas etapas que sequestra silenciosamente o poder de processamento de um computador para minerar criptomoeda, explicaram os pesquisadores da Darktrace, Keanna Grelicha e Tara Gould, em um relatório compartilhado com a crypto.news.
De acordo com os investigadores, a campanha visa especificamente sistemas baseados em Windows, explorando o PowerShell, o shell de linha de comando e a linguagem de script integrados da Microsoft, através da qual os agentes maliciosos conseguem executar scripts maliciosos e obter acesso privilegiado ao sistema anfitrião.
Esses scripts maliciosos são projetados para serem executados diretamente na memória do sistema (RAM) e, como resultado, as ferramentas tradicionais de antivírus que normalmente dependem da varredura de arquivos nos discos rígidos de um sistema não conseguem detectar o processo malicioso.
Subsequentemente, os atacantes usam a linguagem de programação AutoIt, que é uma ferramenta do Windows normalmente utilizada por profissionais de TI para automatizar tarefas, para injetar um carregador malicioso em um processo legítimo do Windows, que então baixa e executa um programa de mineração cripto sem deixar vestígios óbvios no sistema.
Como uma linha adicional de defesa, o carregador é programado para realizar uma série de verificações de ambiente, como escanear sinais de um ambiente sandbox e inspecionar o host em busca de produtos antivírus instalados.
A execução só prossegue se o Windows Defender for a única proteção ativa. Além disso, se a conta de utilizador infetada não tiver privilégios administrativos, o programa tenta contornar o Controle de Conta de Utilizador para obter acesso elevado.
Quando essas condições são atendidas, o programa baixa e executa o NBMiner, uma ferramenta de mineração cripto bem conhecida que utiliza a unidade de processamento gráfico de um computador para minerar criptomoedas como Ravencoin (RVN) e Monero (XMR).
Neste caso, a Darktrace conseguiu conter o ataque utilizando o seu sistema de Resposta Autónoma ao "impedir que o dispositivo fizesse conexões de saída e bloqueando conexões específicas a pontos finais suspeitos."
“À medida que as criptomoedas continuam a crescer em popularidade, como se pode ver com a elevada valorização em curso da capitalização de mercado global das criptomoedas (quase 4 trilhões de USD no momento da escrita), os agentes de ameaça continuarão a ver a mineração cripto como um empreendimento lucrativo,” escreveram os pesquisadores da Darktrace.
Campanhas de cryptojacking via engenharia social
Em julho, a Darktrace sinalizou uma campanha separada onde actores maliciosos estavam a utilizar táticas complexas de engenharia social, como a usurpação de empresas reais, para enganar os utilizadores a descarregar software alterado que implementa malware para roubo de cripto.
Ao contrário do esquema de cryptojacking mencionado anteriormente, esta abordagem visava tanto sistemas Windows como macOS e foi executada pelos próprios vítimas inconscientes que acreditavam estar a interagir com pessoas internas da empresa.