Estudantes, autores e qualquer pessoa que deseje melhorar seu vocabulário e habilidades linguísticas utilizam frequentemente o Thesaurus, uma das plataformas mais conhecidas com 5 milhões de visitantes mensais.
Analistas de segurança cibernética do Group-IB encontraram recentemente um esquema de cryptojacking em um site popular do Thesaurus, infectando visitantes com malware para extrair criptomoedas e potencialmente implantar software mais prejudicial.
Grupo-IB’s 24/7 monitorando arquivos maliciosos detectados sinalizados pelo Group-IB MXDR, revelando um aumento no malware em várias empresas clientes com nomes de arquivo incomuns, como ‘chromium-patch-nightly.00.[0-9]{3}.[0-9]{3}.fecho eclair.’
No entanto, a semelhança sugeria uma fonte compartilhada e um ataque não convencional.
Campanha de Criptojacking
Os arquivos maliciosos foram enviados para a Plataforma de Detonação de Malware do Grupo-IB, onde foram analisados em um ambiente virtual seguro. Os arquivos continham um dropper instalando o XMRig Coinminer, usado para mineração da criptomoeda Monero, conhecido por seus recursos de anonimato.
Os analistas usaram o módulo EDR do MXDR para identificar a origem do arquivo, descobrindo que eles foram baixados na pasta Downloads nas estações de trabalho afetadas.
Como a pasta Downloads é comumente usada para downloads, os especialistas examinaram o histórico do navegador usando um recurso integrado do Group-IB EDR, extraindo artefatos para rastrear a origem da amostra maliciosa.
Os analistas do Group-IB rastrearam uma cadeia de infecção sorrateira, onde a visita ao site do dicionário de sinônimos levava a downloads automáticos de arquivos maliciosos. Curiosamente, a travessura evitou a seção de antônimos.
Depois de analisar com Malware do Grupo-IB Detonaçãoeles verificaram a atividade do conta-gotas usando o filtro Header.ImageFileName, encontrando rastros, mas sem inicialização real.
O Grupo-IB não encontrou lançamentos de host para o dropper baixado e alertou prontamente os clientes, oferecendo contexto e dicas de prevenção na seção de comentários de incidentes do sistema MXDR.
A confirmação da Plataforma de Detonação de Malware neutraliza instantaneamente a ameaça do arquivo arquivado, com o agente EDR do Grupo-IB MXDR bloqueando automaticamente e colocando em quarentena arquivos maliciosos. Ele também compartilha hashes de arquivos maliciosos, impactando as listas de bloqueio de outros clientes, mesmo que eles nunca tenham tido o arquivo.
Milhões de pessoas confiaram no renomado site de dicionário de sinônimos, mas ele abrigava um minerador, expondo o mito de que sites populares são seguros. Os atores da ameaça usaram táticas bem conhecidas, incluindo downloads drive-by e engenharia social por meio de uma página de erro falsa.
Recomendações
Aqui abaixo mencionamos todas as recomendações: –
- Certifique-se de manter o sistema operacional e outros softwares atualizados.
- Sempre siga as fontes oficiais de software e atualizações.
- Monitore o uso de recursos da estação de trabalho para sinais de criptomineradores por meio do Gerenciador de Tarefas ou ferramentas semelhantes quando o uso de CPU/GPU aumenta de maneira incomum.
- Empregue soluções EDR para interromper downloads maliciosos e prevenir ataques desde o início.
- Analise com segurança arquivos suspeitos com plataformas avançadas de detonação de malware.