A gigante norte-americana de softwares Microsoft teve que remover seis apps de Windows 10 de sua loja oficial depois que a empresa de cibersegurança Symantec identificou a presença de códigos maliciosos para mineração de moeda Monero (XMR). A notícia foi divulgada pela Symantec em 15 de fevereiro.
O roubo de mineração cripto — também conhecido como cryptojacking – trabalha com a instalação de malware que usa o poder de processamento do computador para mineração de criptomoedas sem o consenso ou consentimento do proprietário. De acordo com a Symantec, a empresa detectou o primeiro código de mineração maliciosa do XMR em 8 apps — publicados por três desenvolvedores — em 17 de janeiro.
Depois que a Symantec alertou a Microsoft, a empresa removeu todos os 8 produtos, mas a data exata em que eles saíram do ar ainda não foi revelada.
As aplicações - que eram bem ranqueadas na lista de apps gratuitos da Microsoft Store - incluíam "um tutorial sobre otimização de computadores e baterias, pesquisa na Internet, navegadores web, e visualização e download de vídeos" e foram publicadas pelos desenvolvedores “DigiDream, 1clean e Findoo”. Depois da investigação, a Symantec disse que todos os 8 apps podem ter sido desenvolvidos pela mesma pessoa ou grupo, em vez de três entidades distintas.
Todas as amostras detectadas rodam em Windows 10, incluindo o Windows 10 S Mode, e foram publicadas entre abril e dezembro de 2018. Elas funcionavam acessando o Google Tag Manager em seus servidores de domínio para buscar uma biblioteca JavaScript. Uma vez que o script de mineração fosse ativado, a CPU do computador era sequestrada para minerar XMR para os desenvolvedores do app.
Os representantes da Symantec disseram ao portal de tecnologia ZDNet que esta é a primeira vez em que casos de cryptojacking foram encontrados na Microsoft Store. O roubo através dos apps era disfarçado executando uma janela independentemente do navegador (processo WWAHost.exe). Além disso, eles não tinham "'afogamento', o que significa que podem usar 100% do tempo da CPU do usuário.
Como a Synmantec divulgou, enquanto todos os apps suspeitos apresentaram sua política de privacidade, nenhum deles mencionou a mineração de criptomoedas. A análise da empresa identificou traços de malwase de mineração nos apps como o código de mineração do navegador baseado em Coinhive.
A Symantec disse que não conseguiu determinar as estatísticas precisas de download e instalação dos apps, mas observa que os apps receberam mais de 1.900 avaliações - se é que esses números representam usuários reais ou bots, ainda é difícil precisar.
Além da ação da Microsoft ao deslistar os apps, o JavaScript de mineração também foi retirado do Google Tag Manager depois do alerta da Symantec.
Como noticiado, uma publicação recente da empresa de pesquisas em cibersegurança Kaspersky Lab revelou que o cryptojacking ultrapassou o ransomware como a maior ameaça à cibersegurança atual — particularmente no Oriente Médio, Turquia e na África.