Malware é inserido em sites falsos com o domínio .gov.br para enganar usuários e instalar o software de mineração.

Entenda a ameaça

Segundo a empresa de segurança SentinelOne, o malware PwnRig está sendo distribuído por meio de páginas falsas que usam o domínio .gov.br. O domínio em questão é exclusivo de entidades governamentais do Brasil.

Trata-se de uma versão personalizada do software de mineração XMRig, utilizado para mineração da criptomoeda Monero. O ativo digital garante transações totalmente anônimas: ou seja, não é possível monitorá-las em sua blockchain.

• Veja também: CZ gritou: Um hacker ACABA de roubar quase 4.300 tokens Ethereum (ETH) da Uniswap v3
  

Modus operandi

Hackers inserem o malware em páginas falsas, com domínios oficiais do governo; usuários baixam e instalam o software de mineração em seus dispositivos, que começam a dedicar parte de seu desempenho para a atividade.

Após a instalação, os dispositivos infectados começam a ficar mais lentos por conta da mineração. Não é possível localizar facilmente o malware, tampouco descobrir para que endereço os fundos minerados estão sendo enviados.

Outras máquinas conectadas à mesma rede poderão ser infectadas por meio da ameaça. Portanto, se um dispositivo for comprometido e houver outros conectados no mesmo ponto, todos deverão ser imunizados por meio de softwares antimalware.

Sobre o grupo hacker

Membros do grupo hacker 8220 Gang criaram um arquivo separado chamado “Spirit”. Ele evita que certos hosts sejam infectados, como servidores de pesquisadores, o que poderia comprometer suas atividades ilícitas.

Ao longo dos últimos anos, os hackers foram capazes de criar script simples, porém eficientes para infectar sistemas como Windows e Linux. Cerca de 30 mil vítimas foram registradas pela SentinelOne.