Campanha de Cryptojacking infecta dicionário de sinônimos online com mais de 5 milhões de visitantes

microsoft-mitiga-ataque-do-ator-chines-storm-0558-que-visava-e-mails-de-clientes

Uma campanha de Cryptojacking infectou dicionário de sinônimos online. Estudantes, autores e qualquer pessoa que deseje melhorar seu vocabulário e habilidades linguísticas utilizam frequentemente o Thesaurus, uma das plataformas mais conhecidas com 5 milhões de visitantes mensais.

Analistas de segurança cibernética do Group-IB encontraram recentemente um esquema de cryptojacking em um site popular do Thesaurus, infectando visitantes com malware para extrair criptomoedas e potencialmente implantar software mais prejudicial.

O monitoramento 24 horas por dia, 7 dias por semana do Group-IB detectou arquivos maliciosos sinalizados pelo Group-IB MXDR, revelando um aumento de malware em diversas empresas clientes com nomes de arquivo incomuns, como ‘chromium-patch-nightly.00.[0-9]{3}.[ 0-9]{3}.zip.’ No entanto, a semelhança sugeria uma fonte compartilhada e um ataque não convencional.

Campanha de Cryptojacking

Os arquivos maliciosos foram enviados para a Plataforma de Detonação de Malware do Grupo-IB, onde foram analisados ??em um ambiente virtual seguro. Os arquivos continham um dropper instalando o XMRig Coinminer, usado para mineração da criptomoeda Monero, conhecido por seus recursos de anonimato.

Os analistas usaram o módulo EDR do MXDR para identificar a fonte do arquivo, descobrindo que eles foram baixados na pasta Downloads nas estações de trabalho afetadas. Como a pasta Downloads é comumente usada para downloads, os especialistas examinaram o histórico do navegador usando um recurso integrado do Group-IB EDR, extraindo artefatos para rastrear a origem da amostra maliciosa.

campanha-de-cryptojacking-infecta-dicionario-de-sinonimos-online-com-mais-de-5-milhoes-de-visitantes
Imagem: Reprodução | GBHackers

Os analistas do Group-IB rastrearam uma cadeia de infecção sorrateira, onde a visita ao site do dicionário de sinônimos levava a downloads automáticos de arquivos maliciosos. Curiosamente, a travessura evitou a seção de antônimos. 

Depois de analisar com o Group-IB Malware Detonation, eles verificaram a atividade do dropper usando o filtro Header.ImageFileName, encontrando rastros, mas nenhum lançamento real. O Grupo-IB não encontrou lançamentos de host para o dropper baixado e alertou prontamente os clientes, oferecendo contexto e dicas de prevenção na seção de comentários de incidentes do sistema MXDR.

campanha-de-cryptojacking-infecta-dicionario-de-sinonimos-online-com-mais-de-5-milhoes-de-visitantes
Imagem: Reprodução | GBHackers

A confirmação da Plataforma neutraliza instantaneamente a ameaça do arquivo arquivado, com o agente EDR do Grupo-IB MXDR bloqueando automaticamente e colocando em quarentena arquivos maliciosos. Ele também compartilha hashes de arquivos maliciosos, impactando as listas de bloqueio de outros clientes, mesmo que eles nunca tenham tido o arquivo.

Milhões de pessoas confiaram no renomado site de dicionário de sinônimos, mas ele abrigava um minerador, expondo o mito de que sites populares são seguros. Os atores da ameaça usaram táticas bem conhecidas, incluindo downloads drive-by e engenharia social por meio de uma página de erro falsa.

Recomendações

  • Certifique-se de manter o sistema operacional e outros softwares atualizados.
  • Sempre siga as fontes oficiais de software e atualizações.
  • Monitore o uso de recursos da estação de trabalho para sinais de criptomineradores por meio do Gerenciador de Tarefas ou ferramentas semelhantes quando o uso de CPU/GPU aumenta de maneira incomum.
  • Empregue soluções EDR para interromper downloads maliciosos e prevenir ataques desde o início.
  • Analise com segurança arquivos suspeitos com plataformas avançadas de detonação de malware.
Via: GBHackers