A empresa de cibersegurança Trend Micro detectou nos últimos meses uma alta no uso de um malware de cryptojacking de Monero (XMR) voltado a sistemas da China. A notícia foi revelada em um anúncio oficial da Trend Micro em 5 de junho.

Como já noticiado, o cryptojacking é um termo da indústria para ataques de mineração cripto roubada, que funcionam através da instalação de um malware que usa a capacidade de processamento de um computador para minerar criptomoedas sem consentimento ou conhecimento do dono.

O malware focado em XMR - que possui os scripts maliciosos PowerShell para as atividades de mineração ilícita em sistemas da Microsoft — teve foco na China na metade de maio. O pico teria sido em 22 de maio, e a onda de ataques de cryptojacking desde então se estabilizou, segundo a Trend Micro. A China foi responsável por 92% das detecções da nova variação, diz a empresa.

Em uma análise dos ataques, a empresa de cibersegurança identificou que a última campanha é parecida com uma nova onda de atividades de um scripto malicioso PowerShell (chamado “PCASTLE”) para entregar o malware de mineração de XMR. A campanha anterior, porém, teve como alvos diferentes países — Japão, Austrália, Taiwan, Vietnã, Hong Kong e Índia.

O relatório da Trend Micro descreve em detalhes como funciona a infecção do malware nas funções de cadeia, e nota que enquanto a campanha é focada em uma área geográfica, ainda assim parece não ter distriminação, em termos da indústria. A Trend Micro também observa que, ao lado de seu campo de disseminação na indústria, os invasores fazem:

“O uso de XMRig como seu módolo de mineração de sua carga útil, não é [...] surpreendente. Algorítmos para mineração de Monero não usam um recurso intensivo, em comparação com outros mineradores, e não usam muito poder de processamento. Isso significa que eles podem minerar criptomoedas ilicitamente sem chamar atenção de usuários. A não ser que eles notem alguns avisos como problemas de performance.”

Em sua conclusão, a Trend Micro destaca que, mesmo enquanto as motivações por trás do foco dos invasores na China não estejam esclarecidas, a campanha mostra que a técnica de malware sem arquivos ainda representa uma ameaça persistente - uma das mais recorrentes do cenário atual, de acordo com a empresa.

Como noticiado mais cedo neste mês, a Trend Micro também detectou um malware chamado BlackSquid que infecta servidores web ao implementar seis diferentes exploradores e instala o software de mineração de Monero baseado em Unidade de Processamento Central XMRig.