BOINC Malware

Proteger os dispositivos contra ameaças de malware é crucial para manter a segurança e a funcionalidade. Recentemente, os cibercriminosos exploraram o BOINC (Berkeley Open Infrastructure for Network Computing), um utilitário legítimo para projetos de computação distribuída, para executar atividades ameaçadoras em sistemas infectados. Observe que esta não é uma vulnerabilidade no próprio BOINC; em vez disso, o malware instala ilegalmente o BOINC para realizar suas operações.

Instalação e Execução

O malware carrega o BOINC nos dispositivos dos usuários sem consentimento, usando uma carga útil de terceiros. Este método ignora os processos típicos de instalação, garantindo que o BOINC seja instalado secretamente. Os binários usados são retirados diretamente do instalador oficial do BOINC 8.0.2, embora o instalador em si não seja empregado diretamente no processo de instalação.

Operações Ameaçadoras

Após a instalação, o malware inicia diversas atividades inseguras:

• Criação de usuário oculto do Windows : Há relatos não confirmados de criação de um usuário oculto do Windows, o que poderia facilitar ainda mais o acesso não autorizado.
• Instalação de serviço : Software prejudicial é instalado como um serviço nos sistemas infectados, embora detalhes específicos, como o nome do serviço, não sejam divulgados no momento.
• Distribuição de arquivos : Múltiplas cópias do BOINC são baixadas para a pasta 'C:\USERNAME\AppData\Roaming' e suas subpastas, espalhando sua presença por todo o sistema.
• Renomeação de executável : Os executáveis do cliente BOINC são renomeados para nomes de processos comuns do sistema, como '.exe,' 'gupdate.exe,' 'SecurityHealthService.exe' e 'trustedinstaller.exe'. Este disfarce visa evitar a detecção e misturar-se com processos legítimos.
• Criação de servidor falso : Foi relatado um servidor BOINC falso semelhante ao servidor legítimo Rosetta@home. Embora seu nome permaneça não divulgado por razões de segurança, este servidor imita um projeto legítimo para potencialmente enganar os usuários e realizar ações não autorizadas.

Distribuição e Impacto

O método de distribuição deste malware permanece obscuro, com as vítimas a especular que poderá estar ligado a ligações a redes Wi-Fi públicas. A campanha parece ter como alvo usuários especificamente nos Estados Unidos, afetando aproximadamente 7.000 dispositivos Windows, conforme relatado pelo falso servidor do projeto.

Conselhos sobre Mitigação e Remoção

Os pesquisadores sugerem as seguintes etapas para mitigar o impacto deste malware:

• Limpeza do Agendador de Tarefas : Verifique e remova quaisquer entradas no Agendador de Tarefas que executam código da pasta 'Roaming'. Essas entradas podem aparecer disfarçadas como processos legítimos, como atualizações do Mozilla ou do Google, ou podem simplesmente consistir em um sublinhado seguido de números.
• Exclusão de arquivo : Exclua todos os arquivos indesejados armazenados na pasta 'Roaming' e suas subpastas. Os utilizadores podem precisar encerrar processos usando o 'Gerenciador de Tarefas' para garantir que todos os arquivos inseguros possam ser excluídos com segurança.

Ao tomar essas precauções e permanecer vigilantes contra atividades e instalações suspeitas, os usuários podem ajudar a proteger seus dispositivos contra os impactos de softwares ameaçadores, como o malware BOINC.