KingMiner usa força bruta para comprometer Servidores Windows

Pesquisadores de segurança da Check Point descobriram que o KingMiner usa força bruta para comprometer Servidores Windows. Confira!


A empresa de segurança cibernética Check Point Software Technologies descobriu que o novo malware de mineração de criptografia está “evoluindo”.

KingMiner usa força bruta para comprometer Servidores Windows
KingMiner usa força bruta para comprometer Servidores Windows

Uma nota de pesquisa publicada pela empresa na última quinta-feira informou que os analistas Ido Solomon e Adi Ikan identificaram um malware de mineração Monero conhecido como KingMiner.

O malware, que foi visto pela primeira vez em junho, tendo como alvo servidores da Microsoft em particular – geralmente aqueles que usam o IIS ou o SQL para minerar o Monero.

KingMiner usa força bruta para comprometer Servidores Windows

O grupo de ameaças apelidado de KingMiner usa um malware cryptojacking em evolução contínua, conhecido por ter como alvo principalmente servidores Microsoft IIS/SQL, sendo a força bruta o principal vetor de ataque para comprometer suas vítimas.

Sobre a ameaça, os pesquisadores de segurança da Check Point, Ido Solomon e Adi Ikan, disseram o seguinte:

“O malware foi visto pela primeira vez em meados de junho de 2018 e foi rapidamente seguido pela implementação de duas versões melhoradas.”

Além disso:

“O invasor emprega várias técnicas de evasão para contornar os métodos de emulação e detecção e, como resultado, vários mecanismos de detecção notaram taxas de detecção significativamente reduzidas”.

Desde seu surgimento em junho deste ano, os pesquisadores dizem que o malware gerou duas novas versões, que manipulam os arquivos necessários na emulação para criar uma dependência que é “crítica durante a emulação”.

Ele também implementa um pool de mineração privado com sua API desativada, para impedir que sua atividade seja monitorada, bem como uma carteira que não é usada em pools de mineração pública e domínios privados que dificultam descobrir quais domínios estão sendo usados .

Uma vez que ele consiga comprometer a máquina Microsoft Server, o malware cryptojacking irá procurar por versões anteriores de si mesmo e atualizá-las usando payloads de malware atualizados e específicos da arquitetura.

O malware da KingMiner fará o download da carga útil (payload) na forma de um arquivo XML que contém o arquivo ZIP contendo o binário como um blob de Base64, para garantir que ele evite a detecção.

Depois de expandir o ZIP contendo o binário de malware, um arquivo executável contido nele é executado, iniciando o XMRig minerador que ele usa para minerar ilicitamente moedas Monero em sistemas comprometidos.

Mesmo que o crypto miner seja projetado para usar até 75% dos recursos de CPU do servidor infectado, na prática, ele vai até 100%, provavelmente devido a erros de programação.

Desde que foi descoberto em junho de 2018, a ferramenta de malware da KingMiner passou por vários estágios de evolução, adicionando novos métodos de desvio de detecção e novos recursos, além de mostrar evidências de espaços reservados de código projetados para serem adicionados em futuras atualizações.

A conclusão da Check Point é de que:

“O KingMiner é um exemplo de evolução do malware Crypto-Mining que pode ignorar sistemas comuns de detecção e emulação. Ao implementar técnicas simples de evasão, o invasor pode aumentar a probabilidade de um ataque bem-sucedido”.

Uma lista completa de indicadores de comprometimento da KingMiner, incluindo hashes de arquivos de malware, hosts, pool de mineração e endereços de carteira, está disponível no site da Check Point.
 
Então vocês já sabem, né? Nada de usar servidores Windows para Mineração. 🙂

Brincadeira a parte, fica o alerta para essa nova ameaça.

O que está sendo falado no blog

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.