A mineração maliciosa de criptomoedas vem se tornando uma prática comum por parte dos cibercriminosos, que por sua vez, introduzem técnicas cada vez mais sofisticadas para disseminação dessa ameaça. Por isso, um método sustentável e inteligente de detectar esses tipos de ameaças se faz cada vez mais necessário na área de segurança cibernética.
Por meio do Trend Micro Locality Sensitive Hashing (TLSH), um hash de machine learning, que pode identificar arquivos similares, a Trend Micro conseguiu agrupar amostras similares de mineração de criptomoedas, com base no comportamento e no tipo de arquivo. Dessa maneira, torna-se mais fácil a detecção de malwares modificados.
O passo seguinte foi elaborar, clusters que analisam e detectam ameaças de mineração de criptomoedas por meio do cálculo matemático de “distance scores” entre um arquivo e o outro.
Ao criar clusters de amostras de malware, os pesquisadores de segurança podem criar vários padrões que funcionam de forma proativa. Dessa maneira, sistemas automatizados podem analisar os elementos de um grupo de malware e identificar similaridades entre eles. Ao analisarem um novo arquivo, os sistemas buscam elementos presentes em um grupo de malware e também confirmam se o novo arquivo é compatível com os padrões já existentes.
Além disso, o TLSH também inclui um recurso que pode buscar e fazer a verificação cruzada, de forma imediata e dimensionável, de um grande número de arquivos desconhecidos ou possivelmente maliciosos, comparando-os com ameaças conhecidas.
Entre as amostras coletadas, a Trend Micro descobriu que a maioria dos malwares estavam minerando usando “Monero”, que utiliza o algoritmo CryptoNight de mineração.
Monero é o novo alvo dos malwares
A moeda mais procurada por cibercriminosos que usam malwares de mineração de criptomoeda é o Bitcoin, devido à sua repentina valorização (chegando ao valor máximo de R$ 20.000 em 2017). No entanto, ao que tudo indica, parece que a moeda Monero está assumindo a liderança. Apesar da cotação ser muito menor (US$ 224 dólares no momento de publicação deste texto) que a do bitcoin (US$ 9 mil dólares), a mineração pode ser realizada em computadores e notebooks de consumidores. Além disso, as transações com monero não podem ser rastreadas. Sendo assim, os cibercriminosos podem usar essa criptomoeda ilicitamente com um número maior de alvos.
Também foram encontradas pela Trend Micro, algumas amostras que usam códigos abertos XMRig, modificados para minerar monero ou outras moedas digitais usando CryptoNight.
Um dos motivos que faz com que o XMRig seja um dos códigos favoritos dos criminosos é que, por ser um código aberto, ele é, portanto, mais fácil de adotar e reutilizar em ataques de mineração de criptomoedas. No entanto, é importante observar que os cibercriminosos não são os únicos que preferem usar essa ferramenta de mineração. Entusiastas legítimos de mineração de criptomoedas usam a mesma ferramenta.
Malware de mineração de criptomoedas
Ao longo de alguns anos, o uso de malwares de mineração de criptomoeda se tornou cada vez mais popular entre os cibercriminosos que querem lucrar, por meio de métodos maliciosos, com a valorização das criptomoedas. Através do malware, eles abusam dos recursos computacionais de outros para obter criptomoedas valiosas de maneira desapercebida e ilegal.
No ano passado, a mineração de criptomoedas foi rapidamente ganhando força. A mineração de criptomoedas foi o evento de rede doméstica mais comumente detectado pelo Trend Micro™ Smart Home Network™. Já os sensores do Smart Protection Network™ detectaram um aumento nos casos de malwares de mineração de criptomoedas.
O malware de mineração de criptomoeda traz efeitos nocivos aos recursos das vítimas. A mineração consome muita energia elétrica e praticamente esgota a capacidade de funcionamento do dispositivo. O malware pode fazer o mesmo, chegando ao ponto de superaquecer tanto a bateria de um smartphone, que ela pode até explodir.
Os eventos ilegais de mineração de criptomoedas continuam a aumentar e os cibercriminosos continuam a diversificar os métodos de ataque. Portanto, é ainda mais evidente a importância de criar soluções que forneçam proteção contra várias interações de malware de mineração de criptomoedas.
O XGen™ security da Trend Micro™ combina técnicas multigeracionais de defesa para proteger os sistemas contra malwares de mineração de criptomoedas. Além de contar com machine learning de alta fidelidade para proteger o gateway e o endpoint e proteger cargas de trabalho físicas, virtuais e em nuvem.
Com recursos de filtragem de web/URL, análise comportamental e sandboxing personalizado, o XGen fornece proteção contra as recentes ameaças que contornam controles tradicionais e exploram vulnerabilidades conhecidas, desconhecidas ou não divulgadas, tanto para roubar quanto para criptografar dados de identificação pessoal ou para minerar criptomoedas de forma maliciosa.
