Nova botnet caça e destrói malwares de mineração de criptomoedas
Botnet criada destrói malwares de cripto mineração
Pesquisadores de segurança descobriram uma nova botnet que, em vez de representar uma ameaça, parece estar buscando e destruindo um tipo de malware de mineração de criptomoedas.
Leia mais: Stellar avança 5% nas últimas 24 horas
Chamada de Fbot, a botnet é uma variante de outra chamada Satori, baseada em Mirai – um programa normalmente utilizado para ataques DDoS. De forma pouco usual, módulos de DDoS parecem ter sido desativados e, no lugar deles, a Fbot procura por dispositivos infectados com um malware específico de cryptojacking, substituindo-o.
Descoberta pela equipe da Qihoo 360Netlab, a variante busca uma forma de malware chamada com.ufo.miner – uma variação do minerador de Monero baseado em Android, ADB.Miner.
Distribuindo-se ao buscar por dispositivos com uma porta específica aberta, a botnet então utiliza um script para desinstalar o com.ufo.miner, caso encontrado. A Fbot é programada para escanear e propagar, instalando-se sobre o malware e se auto destruindo, dizem os pesquisadores.
De forma também pouco usual, o código da botnet está ligado a um domínio acessível, não através de um sistema de nomes de domínio (DNS), sendo uma alternativa descentralizada chamada EmerDNS, que torna os endereços mais difíceis de rastrear e serem desativados.
As pesquisas afirmam:
“A escolha da Fbot em utilizar a EmerDNS em vez do DNS tradicional é bem interessante, tornou mais difícil para os pesquisadores encontrar e rastrear a botnet (sistemas de segurança falharão se olharem pelos nomes tradicionais de DNS).”
As intenções da botnet
Ainda não é certo se a Fbot foi instalada por alguém com boas intenções, ou por outro cripto invasor buscando remover a competição.
Leia mais: Bitcoin é visto como oportunidade de investimento por cidadãos palestinos
A prevalência de malwares de mineração de criptomoedas escalou no ano passado, segundo relatórios de várias equipes de segurança, sendo encontrados globalmente em sistemas de propriedade de empresas e governos, bem como de indivíduos. Consequentemente, a ferramenta favorita dos ciber criminosos, o ransomware, ficou em segundo plano após a popularidade do novo malware.
A empresa de segurança Trend Micro relatou no final de agosto que os ataques de cryptojacking atingiram um pico de 956%, desde o primeiro semestre de 2017 até o primeiro semestre de 2018.
Dentre outras iniciativas para combater a crescente ameaça, o Firefox afirmou no dia 31 de agosto que seus navegadores logo bloquearão automaticamente os scripts de cripto mineração. O navegador Opera lançou uma proteção semelhante para dispositivos móveis em janeiro.
Fonte: CoinDesk