Os especialistas da Bitdefender alertam sobre uma campanha de cryptojacking por meio de uma vulnerabilidade de sideload de DLL no Microsoft OneDrive. A Bitdefender já detectou 700 instâncias Microsoft OneDrive atacadas em maio e junho de 2022. A Alemanha é um dos países mais atingidos.
O criptojacking é um perigo crescente: os hackers usam os recursos de PCs ou dispositivos móveis infectados para usar seus recursos para sua própria criptomineração. Em maio e junho de 2022, o Bitdefender detectou uma campanha de ataque global na qual criminosos cibernéticos exploram vulnerabilidades conhecidas de sideloading de DLL no Microsoft OneDrive para instalar malware de criptomineração nos sistemas das vítimas. Em princípio, eles poderiam baixar qualquer malware por meio da vulnerabilidade – incluindo malware.
Malware de criptomineração via vulnerabilidade
O sistema operacional Windows e outros aplicativos são construídos nos arquivos DLL que fornecem ou estendem funcionalidades. Assim que um aplicativo precisa de uma funcionalidade em uma DLL específica, ele a procura na ordem predefinida, primeiro no diretório de onde o aplicativo foi carregado, depois no diretório do sistema, no diretório do sistema de 16 bits, no Windows Diretório, no diretório usado atualmente e mais recentemente nos diretórios listados na variável de ambiente Path. Se o caminho completo dos arquivos DLL necessários não for especificado, o aplicativo tentará localizar o arquivo nos caminhos descritos. Se os hackers tiverem implementado uma DLL maliciosa no caminho de pesquisa, ela será carregada e executada silenciosamente em vez do aplicativo de que realmente precisa.
Baixe DLLs maliciosos via OneDrive.exe
No ataque analisado pelo Bitdefender, os atacantes escrevem um falso secure32.dll no caminho %appdata%\Local\Microsoft\OneDrive\ sem privilégios especiais. O OneDrive processa OneDrive.exe ou OneDriveStandaloneUpdater.exe e os carrega. Como %appdata%\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe está programado para ser executado todos os dias, os arquivos DLL falsos agora são persistentes no sistema da vítima.
Além disso, os invasores ancoram a DLL falsa no sistema por meio de %appdata%\Local\Microsoft\OneDrive\OneDrive.exe. Você configura que o OneDrive.exe inicia a cada reinicialização usando o registro do Windows. Depois de carregar o falso secure32.dll por meio desses processos do OneDrive, ele recarrega o software de criptomineração e o infecta em processos legítimos do Windows. Da mesma forma, os invasores também podem instalar ransomware ou spyware nos sistemas.
Na campanha de criptomineração, os hackers espalharam algoritmos para minerar quatro criptomoedas: Etchasch em particular, bem como ethash, ton e xmr. Em média, os cibercriminosos obtêm um lucro de US$ 13 por computador infectado. As vítimas percebem perdas no desempenho dos sistemas.
Microsoft: Instale o OneDrive "por máquina".
Os usuários podem instalar o Microsoft OneDrive "por usuário" ou "por máquina". O padrão é a instalação "por usuário". Nessa configuração, usuários sem privilégios especiais podem gravar na pasta na qual o OneDrive está localizado. Os hackers podem instalar malware malicioso aqui, modificar arquivos executáveis ou sobrescrevê-los completamente. A Microsoft recomenda, portanto, o uso do OneDrive “por máquina” para instalar e fornece instruções.
Precauções adicionais necessárias
No entanto, a instalação "por máquina" não é adequada para todos os ambientes ou para todos os níveis de privilégio. O Bitdefender, portanto, alerta os usuários do OneDrive para serem muito cuidadosos. Tanto a proteção antivírus quanto o sistema operacional utilizado devem estar sempre atualizados.
Mais em Bitdefender.com
Sobre o Bitdefender A Bitdefender é líder global em soluções de segurança cibernética e software antivírus, protegendo mais de 500 milhões de sistemas em mais de 150 países. Desde a sua fundação em 2001, as inovações da empresa fornecem regularmente excelentes produtos de segurança e proteção inteligente para dispositivos, redes e serviços em nuvem para clientes particulares e empresas. Como fornecedor preferido, a tecnologia da Bitdefender é encontrada em 38 por cento das soluções de segurança implantadas no mundo e é confiável e reconhecida por profissionais da indústria, fabricantes e clientes. www.bitdefender.de