Avast explica novo ataque de malware na Internet
Um novo tipo de malware está invadindo PCs por meio da mesma vulnerabilidade utilizada pelo WannaCry, o ransomware que na última sexta-feira, dia 12 de Maio, fez um ataque a máquinas em 116 países com um total de 250 mil detecções e bloqueios pelo software da Avast. O malware que ataca hoje, porém, tem uma finalidade diferente: utilizar o poder de computação do PC infectado para fazer a 'mineração' de criptomoedas. O número de máquinas infectadas no mundo é elevado, já que o primeiro malware desse tipo foi bloqueado pela Avast em 23 de Abril, numa máquina da Ucrânia, conta Jakub Kroustek, especialista que ocupa o cargo de Threat Lab Team Lead da empresa.
"Nossas estatísticas preliminares mostram que houve mais de 88.000 ataques bloqueados desde o primeiro incidente até agora", detalha Jakub Kroustek. Os países mais visados, segundo ele, são basicamente os mesmos atingidos no surto do WannaCry sexta-feira passada, com a Rússia, Ucrânia e Taiwan nos três primeiros lugares da lista, seguidos pelo Brasil e Índia, que também foram grandes alvos do WannaCry.
No momento, o malware Adylkuzz está focado exclusivamente na mineração do Monero, um tipo de criptomoeda semelhante ao Bitcoin, explica Kroustek: "A mineração de criptomoedas é um negócio legítimo, mas para fazer isso em larga escala é preciso dispor de um forte poder de computação. Existem pessoas que utilizam grandes 'server farms' para ganhar dinheiro com mineração de Bitcoins e de outras criptomoedas. Mas a utilização dessas 'server farms' requer um alto investimento financeiro tanto para a infra-estrutura quanto para pagar a eletricidade”, explica.
Os autores do Adylkuzz querem justamente contornar esses custos usando os PCs existentes de usuários aleatórios, que infectam para usar seu poder de computação sem que os donos saibam, acrescenta Kroustek: “Claro que eles querem tirar proveito dos recursos do sistema do computador infectado pelo maior tempo possível. Portanto, o Adylkuzz fica sendo executado em segundo plano, sem que o usuário perceba nada além do fato de que seu sistema estará rodando mais lento. Esta não é a primeira vez que vemos criminosos infectarem dispositivos para fazer mineração de criptomoedas. Em 2014 registramos casos de malware sequestrando gravadores de vídeo digital (DVRs), para fazerem a mineração de Litecoins", detalha.
O Adylkuzz usa os implantes (códigos de exploração de uma vulnerabilidade) DoublePulsar e EternalBlue de Windows para se espalhar, e portanto é focado apenas em máquinas que utilizam o Windows. Esses dois implantes também são utilizados pelo ransomware WannaCry e originalmente foram criados pelo grupo hacker EquationGroup, que está firmemente conectado à NSA (Agência Nacional de Segurança dos EUA), para explorar a vulnerabilidade MS17-010 no protocolo Server Message Block (SMB), um protocolo de compartilhamento de arquivos nativo do Windows.
Neste momento, os dispositivos móveis não estão em risco, já que o malware é programado para atacar ambiente Windows. Importante ressaltar que não se trata de um ransomware – ele abusa dos recursos do sistema operacional para minerar criptomoedas, de modo que não há nenhuma exigência de resgate.
"Nossas estatísticas preliminares mostram que houve mais de 88.000 ataques bloqueados desde o primeiro incidente até agora", detalha Jakub Kroustek. Os países mais visados, segundo ele, são basicamente os mesmos atingidos no surto do WannaCry sexta-feira passada, com a Rússia, Ucrânia e Taiwan nos três primeiros lugares da lista, seguidos pelo Brasil e Índia, que também foram grandes alvos do WannaCry.
No momento, o malware Adylkuzz está focado exclusivamente na mineração do Monero, um tipo de criptomoeda semelhante ao Bitcoin, explica Kroustek: "A mineração de criptomoedas é um negócio legítimo, mas para fazer isso em larga escala é preciso dispor de um forte poder de computação. Existem pessoas que utilizam grandes 'server farms' para ganhar dinheiro com mineração de Bitcoins e de outras criptomoedas. Mas a utilização dessas 'server farms' requer um alto investimento financeiro tanto para a infra-estrutura quanto para pagar a eletricidade”, explica.
Os autores do Adylkuzz querem justamente contornar esses custos usando os PCs existentes de usuários aleatórios, que infectam para usar seu poder de computação sem que os donos saibam, acrescenta Kroustek: “Claro que eles querem tirar proveito dos recursos do sistema do computador infectado pelo maior tempo possível. Portanto, o Adylkuzz fica sendo executado em segundo plano, sem que o usuário perceba nada além do fato de que seu sistema estará rodando mais lento. Esta não é a primeira vez que vemos criminosos infectarem dispositivos para fazer mineração de criptomoedas. Em 2014 registramos casos de malware sequestrando gravadores de vídeo digital (DVRs), para fazerem a mineração de Litecoins", detalha.
O Adylkuzz usa os implantes (códigos de exploração de uma vulnerabilidade) DoublePulsar e EternalBlue de Windows para se espalhar, e portanto é focado apenas em máquinas que utilizam o Windows. Esses dois implantes também são utilizados pelo ransomware WannaCry e originalmente foram criados pelo grupo hacker EquationGroup, que está firmemente conectado à NSA (Agência Nacional de Segurança dos EUA), para explorar a vulnerabilidade MS17-010 no protocolo Server Message Block (SMB), um protocolo de compartilhamento de arquivos nativo do Windows.
Neste momento, os dispositivos móveis não estão em risco, já que o malware é programado para atacar ambiente Windows. Importante ressaltar que não se trata de um ransomware – ele abusa dos recursos do sistema operacional para minerar criptomoedas, de modo que não há nenhuma exigência de resgate.
Nenhum comentário