Notícias de dispositivos móveis, gadgets, aplicativos Android

Campanha de Cryptojacking infectou dicionário de sinônimos on-line com mais de 5 Milhões de visitantes

Estudantes, autores e qualquer pessoa que deseje melhorar seu vocabulário e habilidades linguísticas utilizam frequentemente o Thesaurus, uma das plataformas mais conhecidas com 5 milhões de visitantes mensais.

Analistas de segurança cibernética do Group-IB encontraram recentemente um esquema de cryptojacking em um site popular do Thesaurus, infectando visitantes com malware para extrair criptomoedas e potencialmente implantar software mais prejudicial.

Grupo-IB’s 24/7 monitorando arquivos maliciosos detectados sinalizados pelo Group-IB MXDR, revelando um aumento no malware em várias empresas clientes com nomes de arquivo incomuns, como ‘chromium-patch-nightly.00.[0-9]{3}.[0-9]{3}.fecho eclair.’

No entanto, a semelhança sugeria uma fonte compartilhada e um ataque não convencional.

Campanha de Criptojacking

Os arquivos maliciosos foram enviados para a Plataforma de Detonação de Malware do Grupo-IB, onde foram analisados ​​em um ambiente virtual seguro. Os arquivos continham um dropper instalando o XMRig Coinminer, usado para mineração da criptomoeda Monero, conhecido por seus recursos de anonimato.

Os analistas usaram o módulo EDR do MXDR para identificar a origem do arquivo, descobrindo que eles foram baixados na pasta Downloads nas estações de trabalho afetadas.

Como a pasta Downloads é comumente usada para downloads, os especialistas examinaram o histórico do navegador usando um recurso integrado do Group-IB EDR, extraindo artefatos para rastrear a origem da amostra maliciosa.

Os analistas do Group-IB rastrearam uma cadeia de infecção sorrateira, onde a visita ao site do dicionário de sinônimos levava a downloads automáticos de arquivos maliciosos. Curiosamente, a travessura evitou a seção de antônimos.

Depois de analisar com Malware do Grupo-IB Detonaçãoeles verificaram a atividade do conta-gotas usando o filtro Header.ImageFileName, encontrando rastros, mas sem inicialização real.

O Grupo-IB não encontrou lançamentos de host para o dropper baixado e alertou prontamente os clientes, oferecendo contexto e dicas de prevenção na seção de comentários de incidentes do sistema MXDR.

Nós recomendamos:  8 Melhores jogos para transmitir Twitch

A confirmação da Plataforma de Detonação de Malware neutraliza instantaneamente a ameaça do arquivo arquivado, com o agente EDR do Grupo-IB MXDR bloqueando automaticamente e colocando em quarentena arquivos maliciosos. Ele também compartilha hashes de arquivos maliciosos, impactando as listas de bloqueio de outros clientes, mesmo que eles nunca tenham tido o arquivo.

Milhões de pessoas confiaram no renomado site de dicionário de sinônimos, mas ele abrigava um minerador, expondo o mito de que sites populares são seguros. Os atores da ameaça usaram táticas bem conhecidas, incluindo downloads drive-by e engenharia social por meio de uma página de erro falsa.

Recomendações

Aqui abaixo mencionamos todas as recomendações: –

  • Certifique-se de manter o sistema operacional e outros softwares atualizados.
  • Sempre siga as fontes oficiais de software e atualizações.
  • Monitore o uso de recursos da estação de trabalho para sinais de criptomineradores por meio do Gerenciador de Tarefas ou ferramentas semelhantes quando o uso de CPU/GPU aumenta de maneira incomum.
  • Empregue soluções EDR para interromper downloads maliciosos e prevenir ataques desde o início.
  • Analise com segurança arquivos suspeitos com plataformas avançadas de detonação de malware.

Table of Contents