Minerador de criptomoedas usa imagem de Taylor Swift para infectar computadores

Uma imagem da cantora Taylor Switft está sendo usada por hackers como o vetor para distribuição de um malware de mineração de criptomoedas. O método, na realidade, é o mais novo experimento dos responsáveis pelo MyKingz, uma das maiores campanhas de botnets com esse fim em todo o mundo, que utilizam a estenografia para esconder executáveis maliciosos que rodam no computador assim que determinadas vulnerabilidades são detectadas.

Trata-se de uma forma de esconder o malware de sistemas de segurança, principalmente em redes corporativas, que estão entre os principais alvos dos criminosos. O software de proteção verá apenas um simples arquivo JPG sendo baixado, quando, na verdade, o que está rodando é um EXE que instala mineradores de criptomoedas nas máquinas vulneráveis e começa a realizar seus trabalhos, com o usuário notando, no máximo, uma lentidão no sistema e um incremento no uso das capacidades de rede.

A foto de Swift é comum, podendo ser carregada em sites ou serviços comprometidos pelos criminosos, mas sem os tradicionais atrativos normalmente usados por golpistas que brincam com a estenografia. Normalmente, campanhas de infecção desse tipo tentam ludibriar vítimas usando fotos íntimas ou sexuais de celebridades, além de montagens para fazer com que o usuário abra o arquivo JPG na tela, baixando algo muito mais perigoso junto com ele. No passado, por exemplo, o nome da atriz Scarlett Johansson já foi usada com esse intuito.

A descoberta do novo vetor de infecção foi feita pelos especialistas em segurança da Sophos, mas não foi possível precisar exatamente o tamanho do alcance dos mineradores que utilizam a imagem de Swift como meio. O que se sabe, porém, é que o MyKingz está em operação desde 2017 e seria uma das mais bem sucedidas campanhas desse tipo, rendendo aproximadamente US$ 50 por dia aos golpistas, principalmente em unidades da criptomoeda Monero.

Com principal foco em sistemas Windows, a campanha de infecção acontece por diferentes meios e se aproveita, principalmente, de sistemas corporativos desatualizados, onde sua detecção seria mais difícil. Desde computadores pessoais até servidores e outros equipamentos de infraestrutura se tornam alvos a partir de portas desprotegidas ou ausência de updates de segurança críticos.

A versatilidade da praga teria a levado a infectar mais de 500 mil máquinas apenas nos seus primeiros meses de funcionamento, com medidas de segurança posteriores reduzindo esse alcance. O que antes já foi uma operação que infectada mais de quatro mil computadores por dia e já rendeu US$ 2,3 milhões aos hackers se tornou algo muito menor, mas ainda perigoso, principalmente na medida em que os criminosos experimentam novos métodos e tentam ludibriar sistemas de segurança.

A recomendação é pela atualização de softwares de proteção e demais medidas desse tipo, já que não há nada que o usuário possa fazer diretamente contra um JPG malicioso. Observar o comportamento do computador também é um bom caminho para descobrir anomalias, buscando ajuda técnica caso note algo de estranho acontecendo, suspendendo o uso o mais rapidamente possível.

Fonte: Sophos