Malware usa falha geral no Windows para instalar minerador de criptomoedas

Um ataque em massa contra computadores rodando diferentes versões do Windows está instalando mineradores de criptomoedas em máquinas desatualizadas. O golpe se aproveita da BlueKeep, uma falha revelada em maio e disponível a partir da versão XP do sistema operacional, permitindo não apenas a execução remota de códigos, como também a disseminação de malwares a todos os computadores desprotegidos que façam parte de uma mesma rede.

De acordo com os especialistas da Kryptos Logic, uma das empresas de segurança responsáveis pela descoberta, o ataque acontece de forma massiva, com os malwares sendo distribuídos de forma generalizada pela internet. Ao encontrarem versões desatualizadas do Windows, eles se instalam e começam a gerar lucros para os responsáveis pelos ataques a partir do poder de processamento da sequência de computadores infectados.

Trata-se, segundo os pesquisadores, do primeiro ataque em massa envolvendo o BlueKeep, revelado em maio e que, até agora, só havia sido explorado desta maneira a partir de provas de conceito. A vulnerabilidade faz parte do protocolo de desktop remoto do sistema operacional da Microsoft e não exigiria interação do usuário, com a brecha tendo sido localizada em, pelo menos, um milhão de PCs conectados no momento em que a Microsoft liberou a atualização.

Como estamos falando de computadores antigos, a ponto de ainda estarem rodando o Windows XP, Vista ou Server 2003, a ideia é que tais máquinas não recebam mais assistência ou tenham administradores responsáveis por elas, apesar de ainda estarem presentes, principalmente, em estruturas corporativas. São elas, agora, os maiores alvos da praga cujos reflexos se dão apenas em uma queda no processamento por conta do uso dos recursos na mineração de moedas — e novamente, como elas não são monitoradas, é bem provável que nem esse aspecto seja notado.

Segundo os especialistas em segurança, o ataque em andamento não utiliza as características de infecção generalizada de redes do BlueKeep. Em vez disso, servidores remotos sob controle dos criminosos vasculham a internet em busca de máquinas conectadas e vulneráveis onde os mineradores possam ser instalados. Sendo assim, dados de usuários e informações confidenciais permanecem seguras, mas isso não significa que, com tantas portas abertas, ataques mais sofisticados e perigosos também não possam acontecer.

Esse funcionamento foi descoberto quando os especialistas em segurança notaram a infecção de máquinas intencionalmente desprotegidas e conectadas à internet, as chamadas “honeypots”, administradas justamente como forma de analisar o comportamento de infecções. De acordo com os responsáveis pela descoberta, a instalação dos mineradores causou travamento em alguns casos, o que indica uma praga ainda pouco eficaz, algo que serve como uma pequena boa notícia, na medida em que ajuda a flagrar sua instalação.

Mais informações, entretanto, não foram divulgadas, como o número de computadores que podem ter sido atingidos ou o destino dos fundos minerados pelas máquinas comprometidas. Entretanto, um número geral indica que 735 mil PCs ainda podem estar vulneráveis — esse é o total de máquinas conectadas à internet e ainda desatualizadas, com a falha BlueKeep presente e permitindo execuções desse tipo.

Por outro lado, segundo os especialistas da Rendition Infosec, que também ajudaram na revelação da campanha, a onda de infecções ainda está em fase de ascensão, já merecendo atenção, mas sem atingir seu ápice, na medida em que a praga utilizada parece problemática e pouco eficaz. O perigo, porém, é real, e com o sucesso dessas primeiras tentativas, nada impede que os responsáveis aprimorem seus malwares para ampliarem ganhos ou adicionem outros usos bem mais perigosos.

Por outro lado, na visão dos pesquisadores, a demora e a dificuldade de implementação podem indicar que a Microsoft pode sair vitoriosa dessa história, com sua atualização funcionando como deveria e resolvendo o problema mesmo em computadores mais antigos. Essa, inclusive, é a principal recomendação para os usuários de sistemas defasados: atualizações devem ser aplicadas em todas as máquinas rodando Windows, de forma que a abertura no sistema de desktop remoto seja fechada.

Fonte: Wired