Portal Falso do MSI Afterburner Alvo de Jogadores de Windows para Mineração de Cripto

Um portal de download falso do MSI Afterburner que está visando usuários avançados do Windows e jogadores de Windows, infectando-os com mineradores de criptomoedas e o malware RedLine que rouba informações, de acordo com um novo relatório de pesquisadores da Cyble.

Para começar, o MSI Afterburner é um recurso de GPU que permite aos usuários configurar overclocking, gravar vídeos, criar perfis de ventilador e monitorar a utilização de sua placa gráfica e CPU instalada.

Bem, esse recurso pode ser usado por usuários com quase todas as placas gráficas, o que o torna utilizável para milhões de usuários ao redor do mundo que então modificam suas configurações conforme suas necessidades, ou seja, para atingir temperaturas mais baixas, melhorar o desempenho em jogos e mais.

Bem, todas essas coisas fazem desta ferramenta um bom alvo para atacantes que buscam atingir usuários avançados do Windows ou jogadores que usam GPUs poderosas, que eles podem assumir para usar na mineração de criptomoedas.

De acordo com a Cyble, nos últimos três meses, mais de 50 sites apareceram na internet que imitam o site oficial do MSI Afterburn e promovem mineradores XMR juntamente com o malware que rouba informações.

Leia: O Grupo AXLocker de Ransomware Rouba as Contas do Discord de Usuários Infectados

Para adicionar a isso, a campanha usou nomes de domínio idênticos para enganar os usuários a acreditarem que estão no site legítimo do MSI Afterburn, o que é mais fácil de promover usando SEO Negro. Estes são alguns dos domínios identificados pela Cyble.

• msi-afterburner–download.site
• msi-afterburner-download.site
• msi-afterburner-download.tech.
• msi-afterburner-download.online
• msi-afterburner-download.store
• msi-afterburner-download.ru
• msi-afterburner.download
• mslafterburners.com
• msi-afterburnerr.com

Além disso, em outros casos, os domínios não usaram a marca MSI e foram possivelmente promovidos através de mensagens, postagens em redes sociais e fóruns.

• git.git.skblxin.matrizauto.net
• git.git.git.skblxin.matrizauto.net
• git.git.git.git.skblxin.matrizauto.net
• git.git.git.git.git.skblxin.matrizauto.net

Quando o arquivo de configuração falso do MSI Afterburner é executado (MSIAfterburnerSetup.msi), o arquivo válido será instalado. No entanto, o instalador irá silenciosamente instalar e executar o malware RedLine que rouba informações e também o minerador XMR no dispositivo infectado.

O minerador XMR é então instalado através de um executável Python de 64 bits chamado “browser_assistant.exe” no diretório de Arquivos de Programa Locais, que insere um shell no processo criado pelo instalador.

O código Shell busca o minerador XMR do arquivo do GitHub e então o injeta diretamente na memória do processo explorer.exe, e como os mineradores XMR nunca interagem com o disco, as chances de serem detectados pelos produtos de segurança são bastante baixas. Depois disso, o minerador XMR se conecta ao pool de mineradores usando um nome de usuário e senha codificados e então fornece as informações básicas do sistema ao atacante da ameaça.

Leia: Kit de Email de Phishing Alvo de Norte-Americanos Durante a Temporada de Férias!

Bem, uma das funções que o minerador usa é a “thread máxima da CPU” configurada para 20, que excede a maioria das threads da CPU, então é configurada para consumir toda a energia disponível. O minerador XMR é colocado para minerar apenas após uma hora, e como a CPU entra em modo ocioso, isso indica que o PC comprometido não está sendo usado para nenhuma tarefa que consome muitos recursos e possivelmente está deixado sem supervisão.

Além disso, ele usa a função cinit-stealth-targets, que é essencialmente uma opção para pausar a mineração e limpar a memória da GPU quando um programa específico listado sob os “alvos furtivos” é iniciado. Esses podem muito bem ser os programas que ajudam a vítima a identificar processos maliciosos, ou seja, antivírus, visualizador de recursos de hardware e mais.

Neste cenário, o minerador que tenta se esconder dos aplicativos do Windows são taskmanager.exe, procexp.exe, Processhacker.exe, perforn.exe, e procexp64.exe. Ao mesmo tempo, o minerador XMR está silenciosamente assumindo o controle de seus recursos (Monero); o RedLine já havia rodado em segundo plano roubando dados do navegador, cookies, senhas e qualquer carteira de criptomoeda que houver.

Infelizmente, quase todos os componentes da campanha Falsa do MSI Afterburn têm baixa detecção por software antivírus, tanto que um relatório da VirusTotal menciona que o arquivo de configuração MSIAfterburnerSetup.msi é detectado apenas por 3 softwares de segurança de 56 e enquanto o browser_assistant.exe é detectado apenas por 2 de 67.

Leia: Malware Mirai RapperBot Atacando Servidores de Jogos Online com DDoS