Últimas notícias

Fique informado

Google Translate Desktop utilizado para ataque com malware de mineração de criptomoedas

31 de agosto de 2022

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

A Check Point Research (CPR) descobre uma campanha ativa de mineração de criptomoedas imitando o Google Translate Desktop e outros softwares gratuitos para infectar PCs; os cibercriminosos podem facilmente mudar o malware, alterando-o de um minerador de criptomoedas para ransomware ou cavalos de Troia bancários

  A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, descobriu uma campanha de malware de mineração de criptomoedas imitando o Google Translate Desktop e outros aplicativos gratuitos para infectar PCs. 

Criada por uma entidade de idioma turco chamada Nitrokod, a campanha de malware contabiliza 111 mil downloads em 11 países desde 2019 (vítimas no Reino Unido, nos Estados Unidos, Sri Lanka, Grécia, Israel, Alemanha, Turquia, Chipre, Austrália, Mongólia e Polônia). Os atacantes atrasam o processo de infecção por semanas para evitar a detecção.

A CPR alerta que os cibercriminosos podem facilmente optar por mudar o malware, alterando-o de um minerador de criptomoedas para ransomware ou cavalos de Troia bancários, por exemplo.

A campanha coloca o malware em softwares gratuitos disponíveis em sites populares como o Softpedia e uptodown. E os softwares maliciosos também podem ser facilmente encontrados por meio do Google quando os usuários pesquisam por “download do Google Translate Desktop”. Após a instalação inicial do software, os atacantes retardam o processo de infecção por semanas, excluindo os rastros da instalação original.

Figura 1. Principais resultados para “download do Google Translate Desktop

Sem ser detectado durante anos

A campanha operou com sucesso sob o radar por anos. Para evitar a detecção, os autores da Nitrokod implementaram algumas estratégias importantes: 

• O malware é executado pela primeira vez quase um mês após a instalação do programa Nitrokod.

• O malware é entregue após seis estágios iniciais de programas infectados.

• A cadeia de infecção continua após um longo atraso usando um mecanismo de tarefas programadas, dando aos atacantes tempo para limpar todas as evidências.

Cadeia de infecção

1. A infecção começa com a instalação de um programa infectado baixado da Web.

2. Assim que o usuário iniciar o novo software, um aplicativo de imitação do Google Translate é instalado. Além disso, um arquivo de atualização é baixado no disco que inicia uma série de quatro droppers (subtipo de malware que tem como propósito “liberar” outro arquivo executável malicioso)  até que o malware seja lançado.

3. Depois que o malware é executado, o mesmo se conecta ao seu servidor C&C (Comando e Controle) para obter uma configuração para o minerador de criptomoedas XMRig e inicia a atividade de mineração.

Figura 2. Mapa da Cadeia de Infecções

“Descobrimos um site popular que oferece versões maliciosas por meio de imitações de aplicativos para PC, incluindo Google Desktop e outros, que contém um minerador de criptomoedas. As ferramentas maliciosas podem ser usadas por qualquer pessoa, e podem ser encontradas por uma simples pesquisa na web, baixados a partir de um link e a instalação é feita com um simples duplo clique. Sabemos que as ferramentas são construídas por um desenvolvedor que fala o idioma turco”, explica Maya Horowitz, vice-presidente de pesquisa da Check Point Software.

“Atualmente, a ameaça que identificamos foi a instalação inconsciente de um minerador de criptomoedas, que rouba recursos do computador e os aproveita para que o atacante monetize. Ao adotar o mesmo fluxo de ataque, o cibercriminoso pode facilmente optar por modificar a carga útil final do ataque, alterando o malware de um minerador de criptomoedas para um ransomware ou um cavalo de Troia bancário. O mais interessante para mim é o fato de que o software malicioso é tão popular, mas ficou fora do radar por tanto tempo.

Bloqueamos a ameaça para os clientes da Check Point Software e estamos divulgando essa descoberta da CPR para que outros usuários corporativos e finais também possam ser protegidos”, destaca Maya Horowitz.

Principais orientações de cibersegurança:

• Ter cuidado com domínios semelhantes, erros de ortografia em sites e remetentes de e-mail desconhecidos.

• Fazer download de software apenas de editores e fornecedores autorizados e conhecidos.

• Evitar ataques de dia zero com uma arquitetura cibernética holística de ponta a ponta.

• Certificar-se de que a segurança dos endpoints esteja atualizada e forneça proteção abrangente.

 Sobre a Check Point Research 

A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para empresas privadas e governos em todo o mundo. O portfólio de soluções do Check Point Infinity protege organizações privadas e públicas contra os ataques cibernéticos de 5ª geração com uma taxa de detecção de malware, ransomware e outras ameaças que é líder de mercado. O Infinity compreende três pilares principais, oferecendo segurança total e prevenção contra ameaças de 5ª geração em ambientes corporativos: Check Point Harmony, para usuários remotos; Check Point CloudGuard, para proteger nuvens automaticamente; e Check Point Quantum, para proteger perímetros de rede e data centers, todos controlados pelo gerenciamento de segurança unificado mais abrangente e intuitivo do setor. A Check Point protege mais de 100.000 organizações de todos os portes.

27ago(ago 27)09:0028(ago 28)18:00CISO Forum 2024O encontro Premier para líderes visionários em Segurança da Informação e Cibersegurança09:00 - 18:00 (28)

CISO Forum confirma presença de experts da cibersegurança da Natura, Riachuelo, KaBUM! e Accenture para edição de 2022

Cibersegurança e Internet das Coisas na era do ransomware

5 Tendências em cibersegurança e como elas podem proteger as empresas

Cibersegurança: golpes de cartão de crédito crescem no e-commerce; veja como se proteger