Uma campanha de Cryptojacking infectou dicionário de sinônimos online. Estudantes, autores e qualquer pessoa que deseje melhorar seu vocabulário e habilidades linguísticas utilizam frequentemente o Thesaurus, uma das plataformas mais conhecidas com 5 milhões de visitantes mensais.
Analistas de segurança cibernética do Group-IB encontraram recentemente um esquema de cryptojacking em um site popular do Thesaurus, infectando visitantes com malware para extrair criptomoedas e potencialmente implantar software mais prejudicial.
O monitoramento 24 horas por dia, 7 dias por semana do Group-IB detectou arquivos maliciosos sinalizados pelo Group-IB MXDR, revelando um aumento de malware em diversas empresas clientes com nomes de arquivo incomuns, como ‘chromium-patch-nightly.00.[0-9]{3}.[ 0-9]{3}.zip.’ No entanto, a semelhança sugeria uma fonte compartilhada e um ataque não convencional.
Campanha de Cryptojacking
Os arquivos maliciosos foram enviados para a Plataforma de Detonação de Malware do Grupo-IB, onde foram analisados ??em um ambiente virtual seguro. Os arquivos continham um dropper instalando o XMRig Coinminer, usado para mineração da criptomoeda Monero, conhecido por seus recursos de anonimato.
Os analistas usaram o módulo EDR do MXDR para identificar a fonte do arquivo, descobrindo que eles foram baixados na pasta Downloads nas estações de trabalho afetadas. Como a pasta Downloads é comumente usada para downloads, os especialistas examinaram o histórico do navegador usando um recurso integrado do Group-IB EDR, extraindo artefatos para rastrear a origem da amostra maliciosa.
Os analistas do Group-IB rastrearam uma cadeia de infecção sorrateira, onde a visita ao site do dicionário de sinônimos levava a downloads automáticos de arquivos maliciosos. Curiosamente, a travessura evitou a seção de antônimos.
Depois de analisar com o Group-IB Malware Detonation, eles verificaram a atividade do dropper usando o filtro Header.ImageFileName, encontrando rastros, mas nenhum lançamento real. O Grupo-IB não encontrou lançamentos de host para o dropper baixado e alertou prontamente os clientes, oferecendo contexto e dicas de prevenção na seção de comentários de incidentes do sistema MXDR.
A confirmação da Plataforma neutraliza instantaneamente a ameaça do arquivo arquivado, com o agente EDR do Grupo-IB MXDR bloqueando automaticamente e colocando em quarentena arquivos maliciosos. Ele também compartilha hashes de arquivos maliciosos, impactando as listas de bloqueio de outros clientes, mesmo que eles nunca tenham tido o arquivo.
Milhões de pessoas confiaram no renomado site de dicionário de sinônimos, mas ele abrigava um minerador, expondo o mito de que sites populares são seguros. Os atores da ameaça usaram táticas bem conhecidas, incluindo downloads drive-by e engenharia social por meio de uma página de erro falsa.
Recomendações
- Certifique-se de manter o sistema operacional e outros softwares atualizados.
- Sempre siga as fontes oficiais de software e atualizações.
- Monitore o uso de recursos da estação de trabalho para sinais de criptomineradores por meio do Gerenciador de Tarefas ou ferramentas semelhantes quando o uso de CPU/GPU aumenta de maneira incomum.
- Empregue soluções EDR para interromper downloads maliciosos e prevenir ataques desde o início.
- Analise com segurança arquivos suspeitos com plataformas avançadas de detonação de malware.