Cuidado: seu Microsoft OneDrive pode ser sequestrado por um minerador de criptografia

A recente fusão do Ethereum trouxe más notícias para a maioria dos mineradores. Muitos estavam ocupados se livrando de suas GPUs caras antes que isso acontecesse. Alguns dos outros, no entanto, criaram outras maneiras de contornar as despesas de compra de equipamentos de mineração caros. E os nefastos tendem a usar cryptojacking, onde secretamente usam o computador da vítima ou qualquer outro dispositivo para minerar moedas criptográficas.

No mais recente desenvolvimento desse tipo, o fabricante de antivírus Bitdefender descobriu que o OneDrive da Microsoft estava sendo usado por um grupo de invasores para fins de cryptojacking. A campanha usou um exploit para interceptar uma biblioteca de links dinâmicos (DLL) ou usar uma vulnerabilidade de sideload no OneDrive para realizar operações. A Bitdefender monitorou a campanha entre maio e julho de 2022, e mais de 700 casos de criptojacking foram descobertos durante esse período que usaram explorações semelhantes.

De acordo com o relatório, os invasores confiam no arquivo secure32.dll escrito de forma maliciosa para infectar os sistemas das vítimas em potencial. Ele está hospedado em %LocalAppData%\Microsoft\OneDrive\ para ser carregado junto com os processos nativos do OneDrive. Para fins de conservação, os invasores configuraram o processo OneDrive.exe para ser executado em cada reinicialização. Uma vez infectado, um arquivo DLL Secure32 falso é usado para baixar o software de mineração no sistema da vítima.

O Bitdefender explica:

Os invasores gravam um secure32.dll falso em %LocalAppData%\Microsoft\OneDrive\ como usuários não elevados para serem carregados por um dos processos do OneDrive (OneDrive.exe ou OneDriveStandaloneUpdater.exe).

Os invasores usam uma das dlls do OneDrive para proteger facilmente o salvamento porque %LocalAppData%\ Microsoft\OneDrive\OneDriveStandaloneUpdater.exe está programado para ser executado todos os dias por padrão.

Para tornar a persistência ainda mais robusta, os falsos droppers secure32.dll também definem %LocalAppData%\ Microsoft\OneDrive\OneDrive.exe para ser executado em cada reinicialização usando o registro do Windows.

Uma vez carregado em um dos processos do OneDrive, o falso secur32.dll baixa software de mineração de criptomoeda de código aberto e o injeta em processos legítimos do Windows.

Você pode encontrar mais detalhes sobre a campanha no relatório original aqui .