Vírus que minera criptomoeda 'se esconde' em foto da cantora Taylor Swift

Hackers usaram técnica para enviar foto a um banco de imagens on-line e baixar componente da praga digital em computadores contaminados. A empresa de segurança Sophos publicou um alerta sobre uma praga digital ativa desde 2017 e que, segundo estimativas da companhia, já faturou US$ 3 milhões (cerca de R$ 12 milhões) para seus criadores.

O vírus se destacou porque, agora, esconde seu código em uma foto da cantora norte-americana Taylor Swift, além de explorar uma série de vulnerabilidades para contaminar computadores com Windows.

Não se trata de uma técnica de exploração de falha ou de propagação — a imagem da cantora em si é inofensiva quando aberta em um programa de visualização de fotos. A técnica, chamado de esteganografia, serve apenas para usar o arquivo inofensivo de "esconderijo" e despistar algumas ferramentas de segurança.

A imagem só será aproveitada em um computador já infectado, que vai baixar a "foto" da internet e assim evitar os filtros que monitoram o acesso a arquivos estranhos.

O vírus recebe atualizações periódicas, mas isso exige que a praga seja baixada de algum lugar na internet. Provedores de serviços na web, porém, removem os arquivos de vírus que encontram. Ocultando o código dentro de uma imagem, ele permanece on-line por mais tempo e os criminosos não precisam procurar uma nova "casa" para distribuir essas atualizações.

O código é chamado pela Sophos de MyKings, mas ele também recebe os nomes DarkCloud e Smominru, dependendo da empresa.

Quando aberto em um visualizador de imagens, arquivo será lido como uma foto da Taylor Swift. Quando baixado pelo vírus, o arquivo serve para instalar um componente da praga digital.

Reprodução/Sophos

Brasil é um dos mais afetados

De acordo com a Sophos, 7% dos computadores infectados pela MyKings estão no Brasil. O país com mais sistemas atacados é a China, responsável por 18% das contaminações. Taiwan (11%), Rússia (7%) e Estados Unidos (6%) completam a lista dos cinco mais contaminados.

No total, segundo uma estimativa baseada em endereços de IP feita pela empresa, a praga está presente em 439 mil computadores.

O vírus chega aos sistemas atacando versões vulneráveis de programas e serviços como MySQL, Microsoft SQL Server, Telnet, Secure Shell, Área de Trabalho Remota (RDP).

Como esses programas são mais usados em redes corporativas, as empresas são os alvos mais comuns, mas sistemas que armazenam gravações de câmeras de circuito interno também podem ser atacados.

A Sophos explica que os ataques não são sofisticados, mas sim "oportunistas". Em outras palavras, o vírus procura os alvos mais fáceis e expostos.

Após entrar no sistema, a praga digital tenta desabilitar recursos de segurança, inclusive programas antivírus, e fecha a porta de entrada para que nenhum outro código malicioso se aproveite da mesma facilidade. Com isso, o vírus evita a "concorrência" de outros hackers.

Para permanecer no sistema, o vírus se instala simultaneamente em vários pontos. Caso a remoção não seja completa, qualquer parte do vírus é capaz de reinstalar os demais componentes.

Mineração de Monero

Quando se instala em um computador, o MyKings se aproveita dos recursos de processamento da máquina para minerar a criptomoeda Monero.

A mineração de criptomoedas é um processo semelhante a uma loteria em que o computador precisa refazer um cálculo a cada aposta. Quanto mais processamento for dedicado à tarefa, mais apostas o minerador pode fazer.

Roubando a capacidade de processamento dos computadores infectados, os hackers "vencem" essa loteria sem adquirir sistemas de mineração nem gastar energia elétrica.

De acordo com a Sophos, os criadores da MyKings hoje faturam cerca de US$ 300 (R$ 1,2 mil) por dia. O valor é menor do que no passado por conta das quedas nas cotações das criptomoedas. Cada unidade da Monero já chegou a ser cotada a R$ 1,8 mil em janeiro de 2018, mas hoje é comercializada por cerca de R$ 200.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]