A Avast publicou um alerta sobre outro tipo de malware que utiliza a mesma vulnerabilidade explorada pelo WannaCrypt para infectar sistemas Windows.
Batizado de Adylkuzz, o vírus havia sido detectado pela empresa de segurança no final de Abril, porém, tem uma finalidade diferente: utilizar o poder de computação do PC infectado para fazer a mineração de criptomoedas.
“Nossas estatísticas preliminares mostram que houve mais de 88.000 ataques bloqueados desde o primeiro incidente até agora”, detalha Jakub Kroustek, especialista que ocupa o cargo de Threat Lab Team Lead da Avast. O primeiro malware desse tipo foi bloqueado pela empresa em 23 de Abril, numa máquina da Ucrânia, mas a infecção já se espalhou para vários países. Rússia, Ucrânia e Taiwan ocupam os três primeiros lugares da lista dos afetados, seguidos pelo Brasil e Índia.
No momento, o Adylkuzz está focado exclusivamente na mineração do Monero, um tipo de criptomoeda semelhante ao Bitcoin. “A mineração de criptomoedas é um negócio legítimo, mas para fazer isso em larga escala é preciso dispor de um forte poder de computação. Existem pessoas que utilizam grandes server farms para ganhar dinheiro com mineração de Bitcoins e de outras criptomoedas. Mas a utilização dessas server farms requer um alto investimento financeiro tanto para a infraestrutura quanto para pagar a eletricidade”, explica Kroustek.
Os cibercriminosos querem justamente contornar esses custos usando os sistemas de suas vítimas, sem que elas saibam. Por ser uma contaminação silenciosa, não havia chamado a atenção da mídia até agora. “O Adylkuzz fica sendo executado em segundo plano, sem que o usuário perceba nada além do fato de que seu sistema estará rodando mais lento. Esta não é a primeira vez que vemos criminosos infectarem dispositivos para fazer mineração de criptomoedas”, esclarece o especialista da Avast.
O Adylkuzz guarda parentesco com o WannaCrypt, ao utilizar os códigos de exploração de vulnerabilidades DoublePulsar e EternalBlue para Windows com o objetivo de se espalhar. “Essas duas ferramentas originalmente foram criados pelo grupo hacker Equation Group, que está firmemente conectado à NSA (Agência Nacional de Segurança dos EUA), para explorar a vulnerabilidade MS17-010 no protocolo Server Message Block (SMB), um protocolo de compartilhamento de arquivos nativo do Windows”, relembra a Avast.
