Malware de cryptojacking KingMiner evita detecção para minerar Monero
Mais um super malware de mineração de Monero
Um malware utilizado para minerar a criptomoeda Monero é dependente de constantes melhorias para evitar detecção e aumentar as chances de sucesso.
De acordo com pesquisadores da empresa de cibersegurança Check Point Software Technologies, o malware conhecido como KingMiner provavelmente continuará sendo atualizado no futuro, a fim de aumentar a probabilidade de ataques bem sucedidos. Isso inevitavelmente tornará a detecção mais difícil.
KingMiner, que geralmente tem como alvo servidores criados pela Microsoft, especificamente Internet Information Services (IIS) e servidores SQL, emprega táticas de força bruta para adivinhar senhas dos usuários, com o objetivo de comprometer o servidor durante a fase inicial do ataque.
Nova versão
Ao obter acesso, um arquivo Windows Scriptlet (com a extensão .sct) é baixado antes de ser executada no dispositivo da vítima. Na fase de execução, a arquitetura da CPU do dispositivo é detectada e se versões antigas do ataque forem encontradas, a nova infecção as deleta. KingMiner então baixa um arquivo com extensão .zip – embora não seja um arquivo ZIP, mas um arquivo XML. O objetivo aqui é burlar tentativas de emulação.
Apenas após a extração que as novas chaves de registro são criadas pelo malware, e a mineração de Monero começa a ser executada. Por design, o malware utiliza 75% da capacidade da CPU do dispositivo infectado, mas podem exceder esse limite como resultado de erros de codificação.
KingMiner foi capaz de evitar detecção ao empregar mecanismos relativamente simples, como ofuscação e arquivos executáveis, a fim de não deixar traços de atividade. Adicionalmente, KingMiner está tomando medidas extremas para prevenir suas atividades de serem monitoradas, ou seus criadores serem rastreados.
“Parece que o grupo por trás do KingMiner utiliza uma mining pool privada para prevenir um monitoramento de suas atividades. A API da pool é desligada, e a carteira em questão não é utilizada em mining pools públicas. Nós ainda não determinamos quais domínios são utilizados, uma vez que isso também é privado.”
Baixas taxas de detecção, crescentes tentativas de ataque
Mesmo que as ferramentas de detecção relatem taxas reduzidas de detecção da KingMiner, um aumento constante das tentativas de ataque do malware foram notadas, de acordo com a Check Point Software Technologies.
O relatório feito pelos pesquisadores da Check Point surge em um período em que os incidentes de cryptojacking ao redor do mundo estão aumentando. De acordo com um estudo de setembro realizado pelo McAfee Labs, os ataques dessa natureza aumentaram em 86% durante o segundo trimestre de 2018.
À época, a McAfee Labs indicou que os alvos dos malwares de cryptojacking não eram apenas computadores pessoais, mas também smartphones e outros dispositivos mobile com conexão à internet, um indicador de que pessoas estão jogando suas redes em um amplo mar de possibilidades, tendo em vista a queda nos valores das criptomoedas.
Fonte: CCN