Malware CoinMiner
September 16, 2023
O Coin Miner é um tipo de malware que usa os elementos de hardware do PC da vítima para minerar criptomoedas. Na maioria das vezes, os criminosos que controlam esse vírus Coin Miner (Monero (XMR) ou (Litecoin, por exemplo), pois são os mais fáceis de minerar. Eles podem usar o mesmo software usado para mineração legítima, mas com uma diferença crucial - as pessoas cujo hardware está sendo usado nunca concordaram com isso.
O malware de criptomineração geralmente visa realizar sua atividade na CPU do usuário. Isso ocorre porque há um grande número de PCs, especialmente em escritórios, que não possuem GPU. Mesmo que a mineração com GPU seja muito mais eficaz em ordens de grandeza, é importante para os criminosos serem capazes de lançar com sucesso em todos os PCs que invadem. Eles substituem a qualidade pela quantidade, o que é bastante eficaz com as criptomoedas escolhidas.
Como o Malware CoinMiner Funciona?
Como mencionado anteriormente, os mineradores de criptomoedas fazem praticamente as mesmas coisas que os mineradores legítimos e às vezes usam o mesmo código-fonte - das ferramentas de código aberto. Eles se concentram na realização dos cálculos de um hash de bloco de transação usando o hardware. Dependendo da criptomoeda, o hash pode consistir em 64, 128, 256 ou mais símbolos. Essa operação é necessária para adicionar as informações da transação a um blockchain - um livro-razão global, único para cada criptomoeda.
As GPUs são muito mais eficientes do que as CPUs para essa tarefa, pois têm milhares de núcleos de execução, ao contrário das CPUs, que geralmente têm de 4 a 8 núcleos. É por isso que você provavelmente ouviu falar do aumento do preço das placas de vídeo durante o último boom das criptomoedas. A mineração ainda pode ser feita com um processador, mas a tarefa de cálculo de hash é sensível ao tempo. Se você não concluir a tempo, outra pessoa receberá uma recompensa por fazê-lo mais rápido. Para mitigar esse problema em ambos os lados, os criminosos optam por criptomoedas fáceis de minerar e realizam hackeamento em centenas de computadores para adicioná-los à sua rede. Portanto, mesmo tendo CPUs antigas e fracas, eles serão compensados pela quantidade.
O malware de criptomineração geralmente é subordinado ao servidor de comando, tendo apenas pequenas decisões a tomar autonomamente. No entanto, a configuração inicial do minerador de moedas quase sempre acontece independentemente do servidor - pois o espalhamento tem uma escala massiva. Após ser configurado, o malware se conecta ao servidor, obtém as instruções unificadas e começa a rodar. Para tornar essa conexão mais furtiva, os criminosos alugam um servidor em hospedagens conhecidas - felizmente para eles, eles usam pagamentos em criptomoedas nos dias de hoje.
Amostras do Trojan CoinMiner Encontradas em 2024:
| Trojan.Win32.CoinMiner.cc | 605003d50ab9468473ab3a24c6462be3cf02a5bb83e23cd6d7ed8238dd2ccb69 |
| Trojan.Win32.CoinMiner.ns | de2d17dcc2b8c55cc0c100c93b19d5b8e73896f67bcc7b144244bfbb809af513 |
| Trojan.Win64.CoinMiner.oa!s1 | af36bb1797146886b03ff5c1baaa112e5a096fe44fdaeb8c3697c69312cd5611 |
| Trojan.Win64.CoinMiner.dd!s1 | e138a195780a9d12308a70be78d4f796aa0718f5c3017a31f6785382bf56c9f4 |
| Trojan.Win64.CoinMiner.ca | 41de08416967de58073203a4a231c2b6d93511a1880d1ec5786a3cb0c1b63f42 |
| Trojan.Win32.CoinMiner.cld | dfc306f2b44e1bc8a7e7a8a69ae2e8d369b20d80bd69b8193c204d1ef5b622e8 |
| Risk.Win64.CoinMiner.sd!ni | bb2a99f47c0b61fdb158b13ea673cdc2661a665c1a201ed7d0a9dca89db2d110 |
| Trojan.Win64.CoinMiner.ca | 00748d7ea4ccfb6fc6ff59e3fe24c46b862ab3dd9c562ff6b13b5dfb31326bc6 |
| Trojan.Win32.CoinMiner.ns | bc2c60349051bed87ef9a8cea28984a498f1b0f3b868868315b67c0dfd9ecf81 |
| Trojan.Win64.CoinMiner.ca | a67109836839f25002d6a6e56666d6f94f7aafbd9a57c344b03b7ce55c69a32e |
Como Você Pega um Vírus Coin Miner?
A maioria dos coin miners chega ao seu PC como trojans - disfarçados como aplicativos ou ferramentas legítimas. A maneira exata como eles são espalhados pode diferir, dependendo da decisão de um criminoso que gerencia a distribuição. Mas, em geral, você encontrará o coin miner em aplicativos hackeados, ferramentas para ações não tão legítimas e em e-mails de spam. Em alguns exemplos, você será recomendado a desativar seu antivírus - e isso já deve ser considerado ameaçador. No entanto, como mencionado anteriormente, existem maneiras de torná-lo mais furtivo mesmo sem qualquer manipulação nas configurações de segurança do usuário.
O uso de e-mails de spam como forma de distribuição de coin miner é relativamente novo e parece ter menos incidência nos dias de hoje. No início do verão de 2022, houve um grande surto desses miners, que geralmente tinham como alvo países de língua espanhola. O malware estava contido em arquivos .docx, .xlsx, .pdf ou .txt falsos, que eram anexados à mensagem. Em vez do esquema clássico com um script macro malicioso dentro de um documento, os criminosos usaram outro esquema, mais antigo - a dupla extensão. Por padrão, o Windows tem a exibição de extensões de arquivos desativada, então as vítimas viam apenas a extensão "legítima" de um documento. Na verdade, todos esses arquivos eram executáveis - a extensão .exe estava oculta nas configurações de interface.
O Malware CoinMiner é Perigoso?
Em termos gerais, o malware Coin Miner traz muitos inconvenientes no uso do PC. A mineração de criptomoedas é um processo muito intensivo em recursos, portanto, usar o computador que está envolvido na mineração é praticamente impossível. Ter a CPU ou GPU carregada ao limite, a ponto de ser difícil para o sistema operacional funcionar (~75-80%), significa que você provavelmente terá dificuldades até mesmo para abrir o navegador da web. A mineração espreme o máximo de energia possível, e como é controlada por hackers, você não tem como gerenciar essa carga.
No entanto, esse não é o único perigo da mineração. O cálculo eficiente de hash pressupõe uma carga constante no seu hardware, e os hackers nunca perdem a chance de explorar o sistema que infectaram o máximo possível. Para as CPUs, cargas de longo prazo não são muito críticas - elas podem funcionar mal apenas se tiverem algum defeito de cristal de silício ou um dissipador de calor quebrado. Enquanto isso, as GPUs sofrem um desgaste pesado durante a mineração - alguns modelos podem perder mais de 20% de seu desempenho em um mês, dependendo do software e de como a carga é gerenciada. Isso geralmente acontece quando a temperatura e a carga de hardware são gerenciadas de forma inadequada, mas mais uma vez - desde quando os cibercriminosos prestam atenção ao estado do PC das vítimas?
Há também um risco sobre o qual ninguém costuma falar. Os Coin Miners podem coletar pacotes de dados que são mais típicos de spyware e ladrões de informações. Informações sobre a localização, endereço IP real da vítima, configuração do PC, informações pessoais - essas informações coletadas em um banco de dados podem valer muito na Darknet. E os malfeitores que espalham miners maliciosos nunca descartarão a chance de obter um bônus monetário. Incorporar a funcionalidade de spyware é uma questão de minutos, e os resultados podem ser alarmantemente ruins para a vítima.
Como Detectar o Malware CoinMiner?
O sinal-chave da atividade de um coin miner é a lentidão geral do sistema. É óbvio que qualquer sistema será difícil de usar quando o elemento-chave do sistema estiver distraído com outra tarefa. O malware Coin Miner drena toda a potência disponível, independentemente de haver um Celeron de 10 anos ou um Threadripper. Além disso, você definitivamente ouvirá o ventilador do seu sistema operando na rotação máxima. Ainda assim, essas situações podem ocorrer quando você realiza suas tarefas diárias, então é importante fazer uma pesquisa adicional.
Contrariamente aos spywares mencionados anteriormente, o malware Coin Miner nunca esconde sua presença. Na verdade, é impossível, pois há um sinal não removível de sua presença - a carga extrema de hardware. Como eles não podem se livrar disso, eles tentam disfarçar o processo malicioso (ele estará definitivamente presente no Gerenciador de Tarefas) como algo conhecido e legítimo. A forma mais difundida de ocultação é usar o nome de um determinado processo do sistema. A maioria dos usuários não tem ideia sobre os mecanismos internos do Windows e, portanto, não pode julgar a adequação dos processos em execução em segundo plano.
Ver um processo como "winlogon.exe" ou "msmpeng.exe" que consome mais de 70% da potência do hardware não diz nada para eles, e uma pesquisa online provavelmente mostrará que esses processos fazem parte do Windows. No entanto, não há situações em que esses processos possam consumir tanta potência da CPU. Existem algumas exceções, aparentemente, mas são muito raras e, na maioria das vezes, tal situação significa que você tem um malware Coin Miner em seu sistema.
Sinais típicos de que o vírus Coin Miner está em execução em seu sistema
- Carga elevada de CPU ou GPU que está presente independentemente das ações realizadas no PC;
- Um processo do sistema presente na árvore de processos do usuário;
- Incapacidade de corrigir a situação com reinicializações, ou seja, a carga da CPU aparece assim que o computador é ligado;
- O Microsoft Defender está desativado;
No entanto, a melhor maneira de ter certeza de que você tem exatamente esse problema é usar um software antivírus. Você pode fazer suposições, é claro, e a chance de estar certo pode ser bastante alta, mas nessa situação, contar com a sorte não é uma opção. Software especializado com vários sistemas de detecção mostrará todos os detalhes do que está acontecendo e removerá o intruso, se estiver presente.
Como Proteger o PC do Malware CoinMiner?
Os Coin Miners não são tão fáceis de prever e remover, pois suas ondas de disseminação raramente correspondem a outras atividades de malware. Esse tipo de malware se orienta mais em direção aos valores das criptomoedas - e eles são muito menos previsíveis do que outros tipos de software malicioso. Portanto, você deve esperar novos truques e métodos com a próxima onda de crescimento das criptomoedas.
A melhor maneira de mitigar os riscos é evitar as possíveis fontes de malware. Claro, você não pode proibir o uso de sua principal fonte - a Internet - mas com certeza pode parar de visitar lugares perigosos e de usar software que possa causar danos ao seu sistema. Sites de warez que oferecem versões crackeadas de aplicativos populares, fóruns ou comunidades no Discord que compartilham ferramentas feitas à mão, e-mails de remetentes desconhecidos - eles não devem ser confiáveis. Mesmo que você esteja confiante de que essa fonte não distribui coisas maliciosas, é melhor verificar antes da instalação - você nunca pode ter certeza de que a próxima coisa não será maliciosa.
O método definitivo, que ainda deve ser considerado como último recurso, é um software antimalware eficaz com proteção proativa. Com aplicativos menos sofisticados, você pode detectar o malware Coin Miner em execução, mas a proteção proativa pode impedir que ele faça qualquer coisa antes mesmo de começar. E lembre-se de que os vírus Coin Miner podem facilmente agir como spyware - e dar a ele mais tempo para agir significa expor todos os seus detalhes pessoais. O GridinSoft Anti-Malware fará tudo como deve ser - rapidamente e sem dar ao malware uma chance sequer.