Cryptojacking atinge mercados, malware de mineração de Monero atinge mais de 3.500 sites

Os ataques de cryptojacking estão de volta, comprometendo mais de 3.500 sites e sequestrando silenciosamente os navegadores dos usuários para minerar Monero, uma criptomoeda focada em privacidade. A campanha foi descoberta pela empresa de cibersegurança c/side na terça-feira, quase sete anos após o fechamento do serviço Coinhive, que havia popularizado a tática desde 2017.

Segundo pesquisadores da c/side, o malware está oculto em código JavaScript ofuscado que implanta silenciosamente um minerador quando os usuários visitam um site infectado. Assim que um visitante acessa a página comprometida, o script avalia silenciosamente o poder de processamento do dispositivo. Em seguida, ele inicia Web Workers paralelos em segundo plano para realizar operações de mineração, sem o consentimento do usuário.

Ao limitar o uso do processador e rotear a comunicação por meio de fluxos WebSocket, o minerador evita a detecção, escondendo-se atrás do tráfego normal do navegador. "O objetivo é drenar recursos ao longo do tempo, como um vampiro digital persistente", explicaram os analistas da c/side.

Como funciona o código de cryptojacking

O c/side detectou um código inserido em um site por meio de um arquivo JavaScript de terceiros carregado de https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo. Em vez de minerar Monero na execução inicial, ele primeiro verifica se o navegador do usuário suporta WebAssembly, um padrão para executar aplicativos com alta demanda de processamento. 

O código então avalia se o dispositivo é adequado para mineração e inicia Web Workers em segundo plano, chamados de "worcy", que lidam com as tarefas de mineração discretamente e não interferem na thread principal do navegador. Os comandos e os níveis de intensidade da mineração são inseridos a partir de um servidor de comando e controle (C2) por meio de conexões WebSocket. 

O domínio que hospeda o minerador de JavaScript já foi associado a campanhas Magecart, notórias por roubar dados de cartões de pagamento. Isso pode significar que o grupo por trás da campanha atual tem um histórico de crimes cibernéticos. 

A ameaça se espalha por meio de explorações de vulnerabilidades em sites

Nas últimas semanas, investigadores de cibersegurança descobriram vários ataques do lado do cliente em websites que utilizam o WordPress. Os investigadores detetaram métodos de infeção que incorporam código JavaScript ou PHP malicioso em sites WP.

Os atacantes começaram a abusar do sistema OAuth do Google, incorporando JavaScript em parâmetros de retorno de chamada vinculados a URLs como “accounts.google.com/o/oauth2/revoke”. O redirecionamento leva os navegadores por meio de um payload JavaScript oculto que estabelece uma conexão WebSocket com o servidor do invasor.

Outro método consiste em injetar scripts através do Google Tag Manager (GTM), que são então incorporados diretamente em tabelas do banco de dados do WordPress, como wp_options e wp_posts. Esse script redireciona silenciosamente os usuários para mais de 200 domínios de spam. 

Outras abordagens incluem alterações nos arquivos wp-settings.php do WordPress para buscar conteúdo malicioso em arquivos ZIP hospedados em servidores remotos. Uma vez ativados, esses scripts comprometem o SEO do site e adicionam conteúdo para aumentar a visibilidade de sites fraudulentos.

Em um dos casos, um código foi injetado no script PHP do rodapé de um tema, fazendo com que o navegador redirecionasse o usuário para sites maliciosos. Outro caso envolveu um plugin falso do WordPress, com o nome do domínio infectado, que detectava quando os rastreadores dos mecanismos de busca visitavam a página. Em seguida, ele enviava conteúdo em excesso para manipular o posicionamento nos resultados de busca, permanecendo oculto dos visitantes humanos.

A C/side mencionou como as versões 2.9.11.1 e 2.9.12 do plugin Gravity Forms foram comprometidas e distribuídas através do site oficial do plugin em um ataque à cadeia de suprimentos. As versões adulteradas contatam um servidor externo para obter payloads adicionais e tentam criar uma conta administrativa no site.

No outono de 2024, a Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID) foi vítima de cryptojacking depois que a Microsoft alertou a agência sobre uma conta de administrador comprometida em um ambiente de teste. Os invasores usaram um ataque de força bruta para acessar o sistema e, em seguida, criaram uma segunda conta para operações de mineração de criptomoedas por meio da infraestrutura de nuvem Azure da USAID.