O mundo ainda está em alerta desde a proliferação massiva do WannaCrypt, na última sexta-feira (12). Entretanto, especialistas de segurança alertam para uma segunda campanha de infecção online, mais grave e complexa do que a anterior, que estaria em pleno andamento, apesar de sua forma mais sorrateira e discreta de infecção e execução.
A nova praga, chamada Adylkuzz, usaria os mesmos métodos do WannaCrypt, entretanto, com foco na instalação de mineradores de criptomoedas nos computadores infectados.
Os fundos obtidos, claro, vão para uma conta controlada pelos hackers, enquanto o usuário atingido não percebe que foi alvo, a não ser por uma queda brusca na performance do computador e de sua velocidade de internet.
Como a nova onda também tem as empresas como alvo, servidores corporativos também podem estar servindo para os mesmos fins, o que acaba dificultando ainda mais a identificação da praga.
A campanha de ataques também teria começado antes mesmo do surgimento do WannaCrypt, com especialistas citando o dia 24 de abril como data de início da operação, com proliferação cada vez mais veloz na medida em que mais máquinas vão sendo comprometidas.
O Adylkuzz utilizaria o mesmo método de entrada do WannaCrypt, portas abertas no computador obtidas a partir de redes, usando um exploit originalmente desenvolvido pelo governo dos Estados Unidos, para fins de espionagem.
Os especialistas, entretanto, argumentam que a praga pode, até mesmo, ter ajudado a impedir que o ransomware se espalhasse, pois ao infectar uma máquina, ele fecha eventuais brechas para evitar que mais malwares se alojem no sistema.
A descoberta foi feita pela empresa especializada em segurança digital Proofpoint e veio como uma surpresa para seus analistas.
Ao exporem uma máquina virtual em uma rede infectada, para observar como o WannaCrypt se comporta, os especialistas perceberam que outra praga, mais discreta, acabou tomando conta do equipamento.
O malware de mineração de moedas virtuais se instalou de forma sorrateira e chegou a impedir a infecção pelo ransomware, sem qualquer reflexo visível para o usuário em suas primeiras horas de operação.
Como forma de atrapalhar ainda mais uma investigação e esconder os seus rastros, os hackers preferiram trabalhar com formas mais obscuras de criptomoedas.
Sendo assim, saem as populares Bitcoins para entrada do Monero, um sistema que, inclusive, vem sendo citado por autoridades como a nova opção de criminosos para compra de drogas, cartões de crédito clonados e vulnerabilidades no mercado negro, justamente por conta de seu caráter mais obscuro.
De acordo com a Proofpoint, os hackers teriam obtido mais de US$ 22 mil em moedas virtuais apenas em uma das contas já identificadas como parte dos ataques.
Também para evitar rastreamento, as carteiras virtuais associadas são modificadas periodicamente, com valores menores sendo transferidos para contas bancárias de forma a evitar suspeitas.
Como o método de infecção é o mesmo do WannaCrypt, as medidas de proteção também são idênticas. Para se proteger, basta manter o Windows atualizado, tanto em servidores quanto computadores domésticos, uma vez que a Microsoft já liberou updates que fecham as portas que permitem a infecção.
A medida, entretanto, não muda a situação de quem já foi infectado. A indicação, no caso do Adylkuzz, é observar quedas repentinas de performance no computador, e caso isso seja identificado, buscar ajuda especializada.
// CanalTech
