mineração criptomoeda, ou cryptojacking para breve, é uma das maiores ameaças de segurança cibernética destinadas a ambos os usuários individuais e empresas, redes inteiras incluído. De acordo com as estatísticas, um em cada três organizações tem sido alvo de mineiros criptomoeda.
O número de mineiros criptomoeda (ou criptomoedas) tem aumentado, com novas infecções sendo descobertas diariamente. KingMiner é o nome da última dessas ameaças descoberto por pesquisadores da Trend Micro.
Mais sobre o KingMiner Cryptominer
KingMiner está explorando a criptomoeda Monero e tem como alvo os servidores Windows. Foi detectado pela primeira vez na natureza em meados de junho, e logo depois disso, versões melhoradas foram lançadas em liberdade. Quem está por trás do mineiro está usando várias técnicas de evasão, o que leva a taxas de detecção significativamente reduzidas, os pesquisadores disseram. Além disso, o aumento da infecção está crescendo continuamente.
KingMiner visa especificamente servidores Microsoft, principalmente IIS SQL, e tentativas de adivinhar suas senhas usando ataques de força bruta. Assim que o acesso for obtido, o malware baixa um arquivo Windows Scriptlet (.sct) e executa no computador da vítima. O arquivo está realizando as seguintes operações:
- O arquivo detecta a arquitetura relevante da CPU da máquina.
- Se houver versões mais antigas dos arquivos de ataque, ele mata o processo de arquivo exe relevante e exclui os próprios arquivos.
- Um arquivo ZIP de carga útil (zip 64p.zip) é baixado com base na arquitetura de CPU detectada. Deve-se notar que não é um arquivo ZIP real, mas sim um arquivo XML que irá ignorar as tentativas de emulação.
- O payload XML inclui um blob Base64 que, uma vez codificado, resultará no arquivo “ZIP” pretendido.
No caso de versões mais antigas dos arquivos de malware serem detectados na máquina de destino, eles serão excluídos pelo novo, versão atualmente ativa. Após a extração, KingMiner criará um conjunto de novas chaves de registro e executará um arquivo miner XMRig que é especificado para mineração Monero.
A análise mostra que o minerador está configurado para usar 75% da capacidade da CPU da máquina infectada. Contudo, erros de codificação irão realmente chegar a 100% utilização da CPU.
Quanto ao pool de mineração do malware, é privado e a API foi desligada, e a carteira nunca foi usada em piscinas públicas de mineração. Isso torna praticamente impossível para os pesquisadores rastrear os domínios que estão em uso, ou para definir a quantidade de moedas Monero extraídas.
Quem é o alvo? Os pesquisadores dizem que podem ver que o ataque está amplamente espalhado, do México para a Índia, Noruega e Israel.
KingMiner é um exemplo de malware de mineração de criptomoeda em evolução que pode contornar os sistemas de detecção e emulação comuns, Trend Micro diz. Os pesquisadores prevêem que mais ataques deste tipo serão vistos no futuro.