Cibercriminosos têm distribuído uma atualização falsa do Flash (Fake update) em que é instalado também um criptominer malicioso no dispositivo da vítima.
Uma nova vaga de ataques têm sido proliferados pelos cibercriminosos. O malware atualiza de verdade o Adobe Flash, mas também instala um trecho de código malicioso no computador da vítima de forma a minerar criptomedas sem o prévio consentimento do utilizador afetado.
One of these includes tricking users into unknowingly downloading and running the mining software via a fake Adobe Flash updater. To keep up appearances, the fake updater uses pop-up notifications from the official Adobe installer.
No início de agosto, investigadores da Palo Alto Networks verificaram a existência nomes de ficheiros executáveis do Windows (Pe Files) começando com o AdobeFlashPlayer__ e que estavam a ser distribuídos em servidores online fora da Cloud da Adobe.
Os investigadores, no entanto, não conseguiram identificar como os utilizadores infetados conseguiram chegar ao servidores maliciosos de forma a descarregaram o software.
Os investigadores disseram que os agentes de ameaça realizaram um trabalho excepcional com o software malicioso, uma vez que ele parece uma réplica muito próxima do instalador oficial da Adobe. No entanto, em segundo plano, é instalado o cryptominer XMRig.
Há uma indicação de que a atualização pode não ser legítima: o Windows fornece um aviso sobre o fato de ser de um autor desconhecido:
No entanto, muitos utilizadores não prestam atenção a estes avisos, e acabam mesmo por executar o software malicioso.
“Network traffic during the infection consisted mainly of the Flash update. But my infected lab host soon generated traffic associated with XMRig cryptocurrency mining over TCP port 14444,” Palo Alto’s Brad Duncan noted.
É dificil de identificar este software como malware, uma vez que ele instala de fato uma versão modificada do Flash (na verdade, um update). No entanto, utilizando um software para observar as ligações TCP da máquina infetada com a Internet na rede, é possível perceber a existência de algum tráfego suspeito com origem num socket associado ao processo do software instalado.
Os utilizadores também sentem o computador mais lento, uma vez que os processadores mantêm-se ocupados a minerar criptomoedas.