Trend Micro pesquisadores têm observado uma nova campanha de mineração criptomoeda Monero que tem como alvo servidores Linux. A campanha está usando reutilizados e vulnerabilidades conhecidas - mais particularmente, uma falha que foi corrigida por cinco anos. Os usuários devem observar que a campanha está atualmente ativa e em andamento, afetando as seguintes regiões - Japão, Taiwan, Índia, China, e os EUA.
Ataque de mineração de criptomoeda atinge servidores Linux: os detalhes
A vulnerabilidade conhecida explorada na campanha maliciosa é CVE-2013-2618:
cross-site scripting (XSS) vulnerabilidade no editor.php no mapa do clima da rede antes de 0.97b permite que atacantes remotos injetem script da web arbitrário ou HTML por meio do parâmetro map_title.
Por que os invasores estão explorando esse bug antigo em particular? Conforme visto em sua descrição oficial, é uma falha datada no plug-in Network Weathermap do Cacti, que é usado por administradores de sistema para visualizar a atividade de rede.
além disso, O mapa do tempo da rede tem apenas duas falhas relatadas publicamente, e ambos são de junho 2914. É possível que os invasores estejam se aproveitando não apenas de uma falha de segurança para a qual uma exploração está prontamente disponível, mas também do atraso do patch que ocorre em organizações que usam a ferramenta de código aberto, pesquisadores da Trend Micro explicado.
Mais sobre o mineiro usado nesta campanha
A carga útil final da operação foi considerada um minerador XMRig modificado. Deve-se observar que o XMRig é um minerador XMR legítimo e de código aberto que possui várias versões atualizadas que suportam os sistemas operacionais Windows e Linux de 32 e 64 bits.
O XMRig deve ser executado junto com um arquivo de configuração chamado ‘config.json’, ou com parâmetros que especificam / requerem detalhes como o algoritmo a ser usado (CryptoNight / CryptoNight-Lite), uso máximo da CPU, servidor de mineração, e credenciais de login (Carteira e senha Monero). As amostras usadas neste ataque foram modificadas de uma forma que torna a configuração ou os parâmetros desnecessários. Tudo já está embutido em seu código.
Os pesquisadores coletaram cinco amostras prováveis que os levaram a dois nomes de usuário de login exclusivos, combinando as carteiras Monero para onde os pagamentos do pool de mineração estão sendo enviados.
Tão longe, os atacantes minaram sobre 320 XMR ou aproximadamente $74,677 com base nas duas carteiras que os pesquisadores observaram. Contudo, esses números representam apenas uma pequena parte do lucro de toda a campanha de mineração. Relatórios anteriores da mesma campanha mostraram um lucro de $3 milhões de XMR provenientes de uma única carteira Monero.
Outro minerador que é uma versão modificada do software XMRig é o chamado WaterMiner.
O minerador WaterMiner Monero se conecta a um pool predefinido, tendo instruções específicas em seu arquivo de configuração.
Um pool de mineração é um nó centralizado que pega um bloco blockchain Monero e o distribui aos pares conectados para processamento. Quando um número definido de compartilhamentos é retornado e verificado pelo pool, uma recompensa na forma de criptomoeda Monero é conectada ao endereço da carteira designado.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga:
