Um ataque contra as carteiras eletrônicas da Bitcoin cresceu e se tornou mais forte, com os atacantes mirando toda a infraestrutura da bolsa com uma botnet de mais de 152.000 usuários infectados, elevando a quantidade de fundos de usuários roubados para US $ 4,6 milhões.
A Electrum vem enfrentando ataques cibernéticos desde dezembro do ano passado, quando uma equipe de cibercriminosos explorou uma fraqueza na infraestrutura da Electrum para enganar os usuários de carteiras a fazerem o download das versões maliciosas do software.
Resumidamente, os invasores adicionaram alguns servidores maliciosos à rede de pares Electrum, que foram projetados para exibir um erro de propósito para legitimar os aplicativos da carteira Electrum, instando-os a baixar uma atualização de software de carteira maliciosa de um repositório não oficial do GitHub.
O ataque de phishing eventualmente permitiu que os atacantes roubassem fundos da carteira (quase 250 Bitcoins, o equivalente a cerca de US $ 937.000 na época) e assumissem o controle total sobre os sistemas infectados.
Para combater isso, os desenvolvedores por trás da Electrum exploraram a mesma técnica que os invasores, a fim de incentivar os usuários a fazer o download da última versão corrigida do aplicativo de carteira.
"Clientes da Electrum com mais de 3,3 não podem mais se conectar a servidores públicos. Nós começamos a explorar a vulnerabilidade do DOS nesses clientes, para forçar seus usuários a atualizar e evitar a exposição a mensagens de phishing. Usuários do Linux Tail devem baixar nosso Appimage". Os desenvolvedores da Electrum twittaram em março.
Em resposta a isso, os invasores iniciaram os servidores legítimos DDoSing Electrum na tentativa de enganar os clientes mais antigos para que se conectassem aos nós maliciosos, enquanto os nós legítimos se tornavam sobrecarregados.
De acordo com um post publicado pela equipe de pesquisa do Malwarebytes Labs, o número de máquinas infectadas que baixaram o software malicioso do cliente e participam de forma contrária nos ataques DDoS chegou a 152.000, menos de 100.000 na semana passada.
Os invasores por trás dessas campanhas basicamente distribuem um malware de botnet, apelidado de " ElectrumDoSMiner ", aproveitando principalmente o kit de exploração RIG, o Smoke Loader e um novo carregador BeamWinHTTP, antes não documentado.
"Existem centenas de binários maliciosos que recuperam o ElectrumDoSMiner", observam os pesquisadores. "Supomos que provavelmente existem muito mais vetores de infecção além dos três que descobrimos até agora."
De acordo com os pesquisadores, a maior concentração dos bots DDoS da Electrum está supostamente localizada na região Ásia-Pacífico (APAC), Brasil e Peru, com a rede de bots crescendo continuamente.
"O número de vítimas que fazem parte deste botnet está em constante mudança. Acreditamos que algumas máquinas são limpas, novas são infectadas e se juntam a outras para executar ataques DoS. O Malwarebytes detecta e remove infecções do ElectrumDoSMiner em mais de 2.000 terminais diariamente ", dizem os pesquisadores.
Como as versões atualizadas do Electrum não são vulneráveis aos ataques de phishing, os usuários são aconselhados a atualizar seus aplicativos de carteira para a versão mais recente ( 3.3.4 ) fazendo o download do site oficial do electrum.org.
Enquanto isso, os usuários de aplicativos de carteira Electrum são aconselhados a desativar o recurso de conexão automática e selecionar seu servidor manualmente para evitar ataques DDoS.