A Avast bloqueou mais de 34 milhões de ataques criptográficos do Monero em um único dia

Denis Konopiský 6 dez 2017

A extensão maliciosa do Google Chrome tentou infectar dezenas de milhões de usuários para explorar a criptomoeda Monero: sua conta de luz pode aumentar!

No domingo passado, 3 de dezembro, acompanhamos um pico em uma das nossas detecções, JS:Miner-I, que bloqueia a mineração criptográfica do Monero com o algoritmo cryptonight, uma criptomoeda popular. O algoritmo é adaptado para usar o CPU dos computadores para a sua mineração por JavaScript.

Bloqueamos o JS:Miner-I de utilizar o computador dos nossos usuários sem o seu consentimento, impedindo 34,7 milhões de ataques em apenas um dia. O maior pico não foi a única coisa que chamou a nossa atenção: todos os ataques foram feitos contra o navegador Google Chrome.

As criptomoedas são uma tendência e, com o aumento da popularidade, veio o aumento na sua mineração. A criptomineração determina parcialmente o valor da moeda. A mineração pode ser cara, pois requer grandes quantidades de poder de processamento, o que só pode ser alcançado através de grandes fazendas de servidores. Construir e manter a infraestrutura, além de ter acessa à eletricidade necessária para executar essas fazendas, exige um enorme investimento financeiro. Para reduzir custos, os cibercriminosos preferem usar o poder do seu computador ou smartphone e, em muitos casos, não estão pedindo sua permissão.

Com relação ao ataque criptográfico no domingo, suspeitamos que o código Javascript tenha sido injetado em uma extensão do Google Chrome, pois os arquivos bloqueados pela assinatura JS:Miner-I estavam no armazenamento do Chrome (na pasta utilizada por extensões e complementos para armazenar dados). Embora não possamos afirmar com certeza, acreditamos que duas coisas podem ter acontecido aqui: ou esta é uma campanha maliciosa que foi efetivamente disseminada ou uma extensão muito popular foi modificada para incluir o script de mineração.

Quase 35 milhões de detecções representam um pico enorme em comparação com o número de vezes que bloqueamos essa mineração nos computadores dos nossos usuários nos dias anteriores, como pode ser visto no gráfico abaixo:

Laboratório de Ameaças da Avast: criptomineração do Monero

Por que o Monero?

Já detectamos vários tipos de malware de criptografia ao longo deste ano, incluindo o Adylkuzz, que atingiu o pico em maio, além de outros malwares cujo alvo eram smartphones. Estes exemplos e a mineração que atingiu o pico no domingo têm uma coisa em comum: eles exploram a criptomoeda Monero. Então, a questão é, por que todos eles mineram o Monero e não Bitcoin ou qualquer outra criptomoeda?

Uma razão pode ser que o Monero mantenha as transações privadas, o que também é útil para os cibercriminosos se eles querem ocultar as suas atividades. O Monero usa três tecnologias de privacidade diferentes para ocultar o remetente, o montante enviado e o destinatário, escondendo os detalhes da transação. Por isso, em geral, o Monero se tornou muito popular e o seu valor cresceu de menos de 2 dólares para mais de 200, o que provavelmente é outro motivo pelo qual o Monero é a moeda da vez dos cibercriminosos. Embora o Bitcoin seja amplamente utilizado, ele não mantém as transações privadas e é mais difícil de ser minerado em comparação com o Monero, que pode ser minerado usando a o processamento de um navegador.

Como descobrir se o seu navegador está secretamente na mineração e o que você pode fazer sobre isso?

Os produtos antivírus da Avast detectam esses mineradores incorporados. Além disso, existem algumas outras estratégias que você pode empregar para ver se o seu navegador foi sequestrado para minerar:

  • Verifique quais scripts o seu navegador carregou. Se você estiver percebendo uma carga de CPU significativa (e, por exemplo, há apenas uma guia no seu navegador e você não está executando nada que possa estar usando de forma significativa a sua CPU), então as chances de que você está sendo usado para minerar criptomoedas é grande.

  • Se você descobrir que um site que você visita faz mineração, e você usa um bloqueador de propagandas que permite adicionar endereços adicionais (URLs) à sua lista negra, adicione o site “problemático” à sua lista.

  • Procure "bloqueadores de mineração" na Chrome Web Store e veja o que aparece. Os desenvolvedores já criaram extensões que detectam automaticamente a mineração e impedir que isso ocorra.
--> -->