O novo Trojan também coletará informações de sessões abertas do navegador.

Resultado de imagem para InnfiRAT

Pesquisadores documentaram o surgimento de um novo cavalo de Troia, especializado no roubo de dados relacionados a criptomoedas. 

Apelidado de InnfiRAT, o malware inclui muitos recursos padrão de Trojan, mas espreita especificamente nos sistemas infectados na busca por credenciais de carteira de criptomoeda. 

Em um post no blog , a empresa de segurança cibernética zScaler disse na quinta-feira que o InnfiRAT, escrito em .NET, provavelmente está espalhado por e-mails de phishing contendo anexos maliciosos ou downloads drive-by. 

Depois de pousar em uma máquina vulnerável, o malware faz uma cópia de si mesmo e o oculta no diretório AppData antes de gravar um arquivo PE codificado em Base64 na memória para executar a principal funcionalidade do Trojan. 

O InnfiRAT procurará primeiro por indicadores de um ambiente sandbox, uma configuração comum usada por pesquisadores de segurança cibernética ao fazer engenharia reversa de amostras de malware. Se encontrado, o malware será encerrado; Caso contrário, a carga continuará sendo executada. 

Os dados do sistema, incluindo o país da máquina, tipo de processador, fornecedor do PC, nome e tamanho do cache são raspados. O InnfiRAT entrará em contato com o servidor de comando e controle (C2), transferirá as informações da máquina roubada e aguardará mais instruções.

Entre essas instruções está o comando para obter uma lista de todos os processos em execução em um sistema infectado, incluindo aqueles com as seqüências de caracteres “chrome”, “browser”, “firefox” e “opera”. O malware encerrará qualquer que corresponda. 

O InnfiRAT pode implantar cargas maliciosas adicionais, roubar arquivos e pegar cookies do navegador para coletar credenciais armazenadas de nome de usuário e senha para serviços online. Além disso, o Trojan pode capturar imagens de sessões abertas e desligar os processos antivírus tradicionais.

Na busca por criptomoeda, o InnfiRAT procurará informações relacionadas a criptomoeda, incluindo carteiras Bitcoin (BTC) e Litecoin (LTC), verificando% AppData% \ Litecoin \ wallet.dat e% AppData% \ Bitcoin \ wallet.dat. Se estiverem presentes, o malware desviará os dados existentes que podem ser usados ​​para comprometer essas carteiras e potencialmente roubar fundos virtuais. 

A criptomoeda continua sendo um canal lucrativo para os criminosos cibernéticos gerar lucro ilícito e o InnfiRAT é apenas uma das muitas formas de malware que agora incluem módulos de exploração ou roubo relacionados à criptomoeda. 

O PsiXBot foi atualizado recentemente para incluir o serviço DNS sobre HTTPS do Google e, uma vez em uma máquina de destino, monitorará a área de transferência quanto às credenciais de carteira usadas para armazenar Bitcoin, Etherium, Monero e Ripple.

Outra forma interessante de malware de criptografia, chamada Bird Miner , emula o Linux em máquinas Mac enquanto executa o XMRig. O malware aproveita o poder da CPU das vítimas para minar secretamente o Monero (XMR) e envia os lucros para as carteiras controladas por seus operadores. 

Fonte: ZDNET