Hackers obtêm US$ 1,7 milhão em golpe de criptomoeda com botnet

Cibercriminosos desviam transações para carteiras próprias enquanto executam mineração paralela
Da Redação
05/06/2022

Cibercriminosos que operam a botnet Clipminer obtiveram ao menos US$ 1,7 milhão em ganhos ilícitos até o momento, de acordo com uma estimativa de pesquisadores da equipe de inteligência em ameaças da Symantec. Segundo eles, o malware aproveita o poder de computação dos sistemas comprometidos para minerar criptomoedas, além de identificar endereços de carteira de criptomoedas no texto da área de transferência e substituí-los para redirecionar transações.

O Clipminer foi visto pela primeira vez por volta de janeiro de 2021, logo após o KryptoCibule ser detalhado em um projeto de pesquisa da ESET, sugerindo um possível rebranding da mesma ameaça. As primeiras amostras do malware para Windows começaram a acelerar sua disseminação no mês seguinte, escreveram os pesquisadores em uma postagem no blog da Symantec na semana passada. Eles observaram que existem várias semelhanças em termos de design entre o Clipminer e o KryptoCibule.

“Embora não possamos confirmar se o Clipminer e o KryptoCube são a mesma coisa, as semelhanças de design são impressionantes”, escreveram os pesquisadores da Symantec. “É possível que, após a exposição no blog da ESET, os autores do KryptoCibule tenham mudado as coisas e lançado o Clipminer. Outra possibilidade é que diferentes operadores de ameaças possam ter se inspirado no KryptoCibule e criado o Clipminer à sua imagem e semelhança.” De qualquer forma, “uma coisa é clara”, escreveram os pesquisadores, “o Clipminer provou ser um empreendimento bem-sucedido, rendendo a seus operadores uma quantia considerável de dinheiro”.

Depois de comprometer uma máquina, o Clipminer coloca um arquivo WinRAR no host e extrai e descarta automaticamente um downloader na forma de uma biblioteca de link dinâmico (DLL). Uma vez executado, ele garante que será iniciado novamente se for interrompido. Em seguida, ele cria um valor de registro e renomeia a si mesmo, colocando-o em um arquivo temporário do Windows.

A partir daí, o malware coleta detalhes do sistema e se conecta de volta ao servidor de comando e controle (C&C) pela rede Tor. O malware também cria tarefas agendadas para garantir a persistência no sistema infectado e dois novos diretórios contendo arquivos copiados do host para tornar menos provável que os arquivos maliciosos se destaquem e ofusquem sua existência.

Veja isso
Servidores Windows e Linux estão sob ataque de criptomineração
Novo malware usa AWS Lambda para instalar criptomineradores

Uma chave de registro vazia também é criada para garantir que o mesmo host não seja infectado novamente. “Em cada atualização da área de transferência, ele verifica o conteúdo da área de transferência em busca de endereços de carteira, reconhecendo os formatos de endereço usados ​​por pelo menos uma dúzia de criptomoedas diferentes”, escreveram os pesquisadores. “Os endereços reconhecidos são então substituídos por endereços de carteiras controladas pelo invasor. Para a maioria dos formatos de endereço, os invasores fornecem vários endereços de carteira de substituição para escolher.”

O Clipminer escolhe o endereço que corresponde ao prefixo do endereço que está sendo substituído, tornando menos provável que o usuário perceba alguma coisa e mais provável que vá em frente com a transação. O malware também pode monitorar a atividade do teclado e do mouse para determinar se o sistema está sendo usado e também monitora os processos em execução, verificando as ferramentas de análise e solução de problemas, escreveram os pesquisadores. Se parecer que o sistema host — e algumas das ferramentas de solução de problemas — não estão sendo usadas, o malware ativará o minerador de criptomoedas XMRig. Os pesquisadores observaram que há indicações de que os maus atores usaram outros mineradores no passado e que é provável que um minerador diferente seja usado quando uma GPU dedicada estiver disponível no sistema.

Ao todo, o malware contém 4.375 endereços de carteira exclusivos que são controlados pelos invasores. Destes, 3.677 endereços são reservados para três formatos de endereços Bitcoin. Os pesquisadores da Symantec analisaram os endereços das carteiras Bitcoin e Ethereum e descobriram na época que eles possuíam cerca de 34,3 Bitcoin e 129,9 Ethereum. Ao mesmo tempo, alguns dos fundos aparentemente foram enviados para tumblers de criptomoedas — serviços de mistura projetados para dificultar o rastreamento dos fundos.

“Esses serviços misturam fundos potencialmente identificáveis ​​com outros, de modo a obscurecer a trilha de volta à fonte original do fundo”, escreveram os pesquisadores. “Se incluirmos os fundos transferidos para esses serviços, os operadores de malware potencialmente ganharam pelo menos US$ 1,7 milhão apenas com o sequestro da área de transferência.”

Compartilhar: