Ao fazeres update do Flash Player, vai-te parecer legítimo, mas por trás vai criar-te ligações de cryptomining. Até agora, é a mais recente campanha maliciosa conhecida.
Este update vai buscar o código do atualizador legítimo e, por isso, apesar de parecer que é legítimo quando está a atualizar o software, faz na verdade o download de um minerador para sistemas Windows em XMRig.
Esta atualização irá atualizar ficheiros com o mesmo nome a começar por AdobeFlashPlayer e que estão hospedados em servidores da Cloud, mas que não pertencem à Adobe.
No URL para download, inclui-se a string “flashplayer_down.php?clickid=”.
O domínio está também associado a outros atualizadores ou instaladores que vão buscar mineradores de bitcoins ou outro software não desejado.
De acordo com a análise efetuada ao tráfego, os investigadores revelaram que as máquinas Windows infetadas conetam-se ao domínio osdsoft[.]com por via de um pedido HTTP POST, que está associado a instaladores e atualizadores que vão buscar mineradores de bitcoins.
A melhor forma de proteger os utilizadores é através de um Web filter que bloqueie conexões a este e outros domínios maliciosos, que possam surgir através da instalação ou atualização de um software.
Para os mais curiosos: já alguma vez analisaste tráfego de rede ou tens curiosidade em saber que tipo de ligações tcp e udp estão a ser executadas na tua máquina?
Então, tens aqui duas alternativas:
- Wireshark: https://www.wireshark.org/download.html
- Live TCP UDP watch: https://www.nirsoft.net/utils/live_tcp_udp_watch.html
Quanto ao relatório de análise sobre esta atualização fake pela própria Palo Alto: https://researchcenter.paloaltonetworks.com/2018/10/unit42-fake-flash-updaters-push-cryptocurrency-miners/
