No final de junho, noticiamos que os malwares que mineram criptomoedas cresceram mais de 600% até março. Mas agora pesquisadores de segurança da Kaspersky Labs descobriram um novo ataque bastante esperto: o tipo de infecção depende das configurações do sistema da vítima.

São dois esquemas de ataque que o arquivo malicioso pode causar. O primeiro é um minerador de criptomoedas e o segundo é um ransomware. Assim, o malware "avalia" a máquina e decide qual dos dois ataques poderia ser mais lucrativo. Uma máquina com pouco poder de processamento pode não ser muito útil na mineração, por exemplo.

Escrito na linguagem de programação Delphi, o malware Rakhni está sendo espalhado através de e-mails de phishing com um arquivo do Microsoft Word em anexo. Se aberto, o documento avisa a vítima para salvar o arquivo e permitir a edição.

Caso o usuário execute essa ação e clique em um ícone de PDF, é iniciado um executável no computador da vítima. Uma falsa mensagem de erro na execução é exibida, fazendo com que o usuário pense que é necessário um arquivo do sistema para abrir o documento.

Então, o malware decidirá o tipo de ataque que irá executar. Se o sistema tiver uma pasta chamada "Bitcoin" na seção AppData, ele instalará ransomware. Mas se a pasta não existir e a máquina tiver mais de dois processadores lógicos, será instalado o minerador de criptomoeda.

Nesse último caso, o malware usará o utilitário MinerGate para minerar as criptomoedas Monero (XMR), Monero Original (XMO) e Dashcoin (DSH), em segundo plano. Além disso, os pesquisadores afirmam que ele também é capaz de espionar as vítimas.

Portanto, é sempre bom ter cuidado com os arquivos em anexo nos e-mails. Nunca abra documentos suspeitos e, claro, utilize um bom anti-vírus.