Pesquisadores de segurança da Check Point descobriram que o KingMiner usa força bruta para comprometer Servidores Windows. Confira!
- Como transmitir vídeos para o Chromecast via terminal usando o Stream2Chromecast
- Como instalar o cliente Spotify Spot no Linux via Flatpak
- Musikcube no Linux – Conheça esse player baseado no terminal
A empresa de segurança cibernética Check Point Software Technologies descobriu que o novo malware de mineração de criptografia está “evoluindo”.
Uma nota de pesquisa publicada pela empresa na última quinta-feira informou que os analistas Ido Solomon e Adi Ikan identificaram um malware de mineração Monero conhecido como KingMiner.
O malware, que foi visto pela primeira vez em junho, tendo como alvo servidores da Microsoft em particular – geralmente aqueles que usam o IIS ou o SQL para minerar o Monero.
KingMiner usa força bruta para comprometer Servidores Windows
O grupo de ameaças apelidado de KingMiner usa um malware cryptojacking em evolução contínua, conhecido por ter como alvo principalmente servidores Microsoft IIS/SQL, sendo a força bruta o principal vetor de ataque para comprometer suas vítimas.
Sobre a ameaça, os pesquisadores de segurança da Check Point, Ido Solomon e Adi Ikan, disseram o seguinte:
“O malware foi visto pela primeira vez em meados de junho de 2018 e foi rapidamente seguido pela implementação de duas versões melhoradas.”
Além disso:
“O invasor emprega várias técnicas de evasão para contornar os métodos de emulação e detecção e, como resultado, vários mecanismos de detecção notaram taxas de detecção significativamente reduzidas”.
Desde seu surgimento em junho deste ano, os pesquisadores dizem que o malware gerou duas novas versões, que manipulam os arquivos necessários na emulação para criar uma dependência que é “crítica durante a emulação”.
Ele também implementa um pool de mineração privado com sua API desativada, para impedir que sua atividade seja monitorada, bem como uma carteira que não é usada em pools de mineração pública e domínios privados que dificultam descobrir quais domínios estão sendo usados .
Uma vez que ele consiga comprometer a máquina Microsoft Server, o malware cryptojacking irá procurar por versões anteriores de si mesmo e atualizá-las usando payloads de malware atualizados e específicos da arquitetura.
O malware da KingMiner fará o download da carga útil (payload) na forma de um arquivo XML que contém o arquivo ZIP contendo o binário como um blob de Base64, para garantir que ele evite a detecção.
Depois de expandir o ZIP contendo o binário de malware, um arquivo executável contido nele é executado, iniciando o XMRig minerador que ele usa para minerar ilicitamente moedas Monero em sistemas comprometidos.
Mesmo que o crypto miner seja projetado para usar até 75% dos recursos de CPU do servidor infectado, na prática, ele vai até 100%, provavelmente devido a erros de programação.
Desde que foi descoberto em junho de 2018, a ferramenta de malware da KingMiner passou por vários estágios de evolução, adicionando novos métodos de desvio de detecção e novos recursos, além de mostrar evidências de espaços reservados de código projetados para serem adicionados em futuras atualizações.
A conclusão da Check Point é de que:
“O KingMiner é um exemplo de evolução do malware Crypto-Mining que pode ignorar sistemas comuns de detecção e emulação. Ao implementar técnicas simples de evasão, o invasor pode aumentar a probabilidade de um ataque bem-sucedido”.
Uma lista completa de indicadores de comprometimento da KingMiner, incluindo hashes de arquivos de malware, hosts, pool de mineração e endereços de carteira, está disponível no site da Check Point.
Então vocês já sabem, né? Nada de usar servidores Windows para Mineração. 🙂
Brincadeira a parte, fica o alerta para essa nova ameaça.
O que está sendo falado no blog
- CentOS 7-1810 lançado – Confira as novidades e descubra onde baixar
- Scientific Linux 7.6 lançado – Confira as novidades e baixe
- NVIDIA publicou o código fonte do PhysX sob uma licença aberta
- MX Linux 18 Beta 1 lançado – Confira as novidades e baixe
- KingMiner usa força bruta para comprometer Servidores Windows
- Xubuntu também está abandonando o suporte a 32 bits
