KingMiner usa força bruta para comprometer Servidores Windows

Pesquisadores de segurança da Check Point descobriram que o KingMiner usa força bruta para comprometer Servidores Windows. Confira!


A empresa de segurança cibernética Check Point Software Technologies descobriu que o novo malware de mineração de criptografia está “evoluindo”.
KingMiner usa força bruta para comprometer Servidores Windows

Uma nota de pesquisa publicada pela empresa na última quinta-feira informou que os analistas Ido Solomon e Adi Ikan identificaram um malware de mineração Monero conhecido como KingMiner.

O malware, que foi visto pela primeira vez em junho, tendo como alvo servidores da Microsoft em particular – geralmente aqueles que usam o IIS ou o SQL para minerar o Monero.

KingMiner usa força bruta para comprometer Servidores Windows

O grupo de ameaças apelidado de KingMiner usa um malware cryptojacking em evolução contínua, conhecido por ter como alvo principalmente servidores Microsoft IIS/SQL, sendo a força bruta o principal vetor de ataque para comprometer suas vítimas.

Sobre a ameaça, os pesquisadores de segurança da Check Point, Ido Solomon e Adi Ikan, disseram o seguinte:

“O malware foi visto pela primeira vez em meados de junho de 2018 e foi rapidamente seguido pela implementação de duas versões melhoradas.”

Além disso:

“O invasor emprega várias técnicas de evasão para contornar os métodos de emulação e detecção e, como resultado, vários mecanismos de detecção notaram taxas de detecção significativamente reduzidas”.

Desde seu surgimento em junho deste ano, os pesquisadores dizem que o malware gerou duas novas versões, que manipulam os arquivos necessários na emulação para criar uma dependência que é “crítica durante a emulação”.

Ele também implementa um pool de mineração privado com sua API desativada, para impedir que sua atividade seja monitorada, bem como uma carteira que não é usada em pools de mineração pública e domínios privados que dificultam descobrir quais domínios estão sendo usados .

Uma vez que ele consiga comprometer a máquina Microsoft Server, o malware cryptojacking irá procurar por versões anteriores de si mesmo e atualizá-las usando payloads de malware atualizados e específicos da arquitetura.

O malware da KingMiner fará o download da carga útil (payload) na forma de um arquivo XML que contém o arquivo ZIP contendo o binário como um blob de Base64, para garantir que ele evite a detecção.

Depois de expandir o ZIP contendo o binário de malware, um arquivo executável contido nele é executado, iniciando o XMRig minerador que ele usa para minerar ilicitamente moedas Monero em sistemas comprometidos.

Mesmo que o crypto miner seja projetado para usar até 75% dos recursos de CPU do servidor infectado, na prática, ele vai até 100%, provavelmente devido a erros de programação.

Desde que foi descoberto em junho de 2018, a ferramenta de malware da KingMiner passou por vários estágios de evolução, adicionando novos métodos de desvio de detecção e novos recursos, além de mostrar evidências de espaços reservados de código projetados para serem adicionados em futuras atualizações.

A conclusão da Check Point é de que:

“O KingMiner é um exemplo de evolução do malware Crypto-Mining que pode ignorar sistemas comuns de detecção e emulação. Ao implementar técnicas simples de evasão, o invasor pode aumentar a probabilidade de um ataque bem-sucedido”.

Uma lista completa de indicadores de comprometimento da KingMiner, incluindo hashes de arquivos de malware, hosts, pool de mineração e endereços de carteira, está disponível no site da Check Point.
 
Então vocês já sabem, né? Nada de usar servidores Windows para Mineração. 🙂

Brincadeira a parte, fica o alerta para essa nova ameaça.

O que está sendo falado no blog

Deixe um comentário

Sair da versão mobile