Uma onda de malware bem elaborado está drenando criptomoedas de usuários em todo o mundo, e os atacantes por trás disso foram longe para se manterem ocultos. Pesquisadores descobriram uma campanha em larga escala construída em torno de um carregador multiestágio chamado CountLoader, que encadeia JavaScript, PowerShell e shellcode para entregar uma carga que intercepta e redireciona transações de criptomoedas.
Escala e distribuição da infecção
A campanha atingiu cerca de 86.000 máquinas únicas infectadas em múltiplos continentes. Em média, cerca de 5.000 sistemas infectados se conectavam à infraestrutura de comando e controle a cada minuto. As infecções foram mais altas na Índia, seguidas por Indonésia e Estados Unidos, com forte presença no Sudeste Asiático.
Além da entrega baseada na internet, o malware também se espalha por drives USB. Quando instruído pelo servidor de comando, o CountLoader substitui arquivos em drives externos conectados com arquivos de atalho LNK. Abrindo um, o malware é executado silenciosamente enquanto o arquivo original também é aberto, para que as vítimas não notem nada incomum.
Cadeia de infecção técnica
O malware começa com um arquivo EXE malicioso que executa um comando PowerShell, baixando um carregador JavaScript ofuscado e executando-o através do mshta.exe, uma utilidade legítima do Windows que os atacantes frequentemente abusam porque o sistema operacional confia nela por padrão.
O script PowerShell decodifica um payload Base64 e o executa usando Invoke-Expression, uma técnica comum para executar código oculto sem escrever nada em disco. O CountLoader então assume o controle como um arquivo HTA carregado pelo mshta.exe. Ele esconde sua janela, tenta apagar seu próprio arquivo se executado localmente e cicla através de servidores de comando até que um responda.
Uso de EtherHiding e blockchain
O que diferencia a carga final é como ela localiza seu servidor de comando. Em vez de codificar um domínio que pode ser bloqueado ou derrubado, o clipper usa uma técnica chamada EtherHiding, buscando o endereço do servidor diretamente na blockchain Ethereum. Como a blockchain é descentralizada, não há um único ponto que os defensores possam desligar para cortar o malware.
Uma vez que o endereço do servidor é recuperado, o clipper monitora silenciosamente o conteúdo da área de transferência e suporta múltiplos formatos de criptomoeda, o que significa que pode trocar endereços de Bitcoin, Ethereum e outras carteiras sem que a vítima perceba.
Recomendações de mitigação
Para reduzir o risco, os usuários devem evitar executar arquivos EXE de fontes não confiáveis, tratar drives USB desconhecidos com cautela e sempre verificar endereços de carteira antes de enviar criptomoedas. Observar tarefas agendadas não familiares no Windows e manter o software de segurança atualizado também pode ajudar a detectar essa ameaça antes que danos sérios ocorram.
Equipes de SOC devem monitorar o uso de mshta.exe, Invoke-Expression e conexões de rede incomuns que se assemelhem a tráfego de blockchain. A detecção baseada em comportamento é crucial, pois os domínios de C2 podem mudar dinamicamente.