Search the Community

Uma família de malware específica que foca em roubo de criptomoedas, chamada HackBoss, está sendo estudada por pesquisadores da Avast. O malware é considerado simples, mas muito eficaz, tendo possivelmente roubado mais de US$ 560 mil das vítimas até agora. Transmitido principalmente via Telegram, o HackBoss tem um ganho monetário significativo, segundo a Avast, sendo que os autores do malware possuem um canal de Telegram usado como a principal fonte para espalhá-lo. Ele é promovido como uma fonte de fornecimento "do melhor software para hackers (hack bank/dating/bitcoin)". Embora seja prometido que cada aplicativo promovido no canal seja de hacker ou cracker, a verdade é que cada postagem publicada contém apenas um malware para roubo de criptomoedas oculto como um aplicativo de hacking ou cracking. Além disso, nenhum aplicativo postado neste canal oferece o comportamento prometido, ou seja, todos são falsos. O canal Hack Boss do Telegram foi criado em 26 de novembro de 2018, diz a Avast, e tem mais de 2,5 mil assinantes até o momento, fazendo uma média de 7 postagens por mês. As publicações geralmente contêm um link para armazenamento de arquivos criptografados ou anônimos a partir do qual o aplicativo pode ser baixado, além de uma descrição falsa da suposta funcionalidade do aplicativo e capturas de tela. Depois de baixar o aplicativo como um arquivo .zip, é possível executar o arquivo .exe, e uma user interface simples será exibida, sendo somente ela que pode abrir um diretório de arquivo ou pop-up de uma janela. Sua funcionalidade principal e maliciosa é acionada quando a vítima clica em qualquer botão. Depois disso, uma carga maliciosa é descriptografada e executada. A carga maliciosa verifica regularmente o conteúdo da área de transferência em busca de um formato de carteira de criptomoeda e, se houver um endereço de carteira, ele a substitui por uma de suas próprias carteiras. A carga maliciosa continua em execução no computador da vítima mesmo depois que o aplicativo é fechado. Uma lista de mais de 100 endereços de carteira criptomoeda pertencentes aos autores do HackBoss foi identificada pelos pesquisadores da Avast, que afirmam que as criptomoedas são Bitcoin, Ethereum, Dogecoin, Litecoin e Monero.

Os pesquisadores da Unit42, divisão de segurança da Palo Alto Networks, divulgaram detalhes sobre uma das maiores e mais duradouras operações de cryptojacking do Monero. Cryptojacking é uma forma recente de malware que se oculta em um dispositivo e rouba os recursos do computador com o objetivo de minerar moedas online. A operação é chamada de WatchDog e está em execução desde 27 de janeiro de 2019, já coletando pelo menos 209 Monero (XMR) avaliadas em cerca de US$ 32.056. Os pesquisadores avaliam que pelo menos 476 sistemas foram comprometidos, compostos principalmente de instâncias de nuvem do Windows e NIX. Os pesquisadores da Unit42 publicaram uma visão geral da campanha WatchDog, cujo minerador é composto por um conjunto binário de linguagem de programação Go de três partes e um arquivo de script bash ou PowerShell. Os binários executam funcionalidades específicas, infectando os sistemas Windows e Linux. Os pesquisadores mapearam a infraestrutura por trás das operações de mineração e identificaram 18 endpoints de IP raiz e sete domínios que atendem a pelo menos 125 endereços de URL maliciosos usados para baixar seu conjunto de ferramentas. O WatchDog não depende de um site de terceiros para hospedar sua carga maliciosa, podendo permanecer ativo por mais de 2 anos.