Pesquisadores de segurança descobriram que um minerador de criptomoedas Monero recentemente lançado envia a receita gerada para a Universidade Kim Il Sung na Coreia do Norte. Uma análise de código em profundidade revela que ele pode ser atualizado para incluir componentes adicionais também.
The Monero CryptoCurrency Miner revelado
Um dos primeiros ataques em grande escala com vírus de mineração Monero foi relatado em um alguns meses atras. Esse malware geralmente abusa dos recursos do sistema disponíveis para explorar a criptomoeda Monero. Os ataques de alguns meses atrás se concentraram na exploração de servidores Windows usando código de exploração. As invasões por vulnerabilidades foram uma das principais táticas de disseminação das amostras dispensadas.
As últimas amostras parecem ter sido compiladas por volta da véspera de Natal 2017. Em comparação com outras ameaças semelhantes, descobriu-se que apresenta um comportamento ligeiramente diferente. Em vez de usar pools de mineração predefinidos que geralmente são alguns dos mais populares, ele procura estabelecer uma conexão com um servidor de comando e controle. A análise mostra que ele está hospedado na Universidade Kim Il Sung, na Coreia do Norte. O próprio minerador se conecta a uma piscina de mineração e começa a extrair a criptomoeda. Foi feito um teste de acesso à rede que mostra que o servidor do hacker está inacessível. Consequentemente, quaisquer moedas minadas não seriam transferidas para os operadores criminosos.
Padrão de comportamento do Monero CryptoCurrency Miner
O minerador Monero em questão é amplamente distribuído como instalador de pacote de software. Normalmente, essas ameaças são distribuídas em portais controlados por hackers. Os hackers adquirem versões populares gratuitas ou de teste de softwares famosos e as modificam para incluir o software Miner. Dependendo de sua configuração exata, as vítimas podem ser capazes de impedir a instalação desmarcando certas opções durante o processo de configuração. As fontes de infecção podem incluir qualquer um dos seguintes:
- Portais de download falsificados - Eles são projetados para aparecer como serviços legítimos, oferecendo software útil.
- Mensagens de e-mail —Eles são distribuídos para vítimas de computador e, dependendo da configuração, os arquivos de malware podem ser anexados ou vinculados. Táticas de engenharia social são empregadas a fim de coagir as vítimas a cair na ameaça.
- Scripts da Web - Todas as formas de anúncios, redirecionamentos e pop-ups podem levar a uma infecção de malware perigosa.
Assim que o código do vírus for implantado, o Monero CryptoCurrency Miner é iniciado. Seu nome de arquivo é chamado intelservice.exe que é um nome genérico frequentemente usado por outro software de mineração. De acordo com os analistas que revisaram os padrões de infecção, parece ser baseado no xmrig ferramenta.
Existem vários casos possíveis para a criação deste minerador de criptomoeda Monero em particular. Um dos cenários afirma que o minerador é projetado com a intenção de operá-lo em uma rede local fechada. É possível que a liberação do código pela Internet tenha sido um incidente.
No entanto, se o minerador de criptomoedas Monero for visto como uma simples ameaça de vírus com servidores desligados. Finalmente, a terceira causa possível é uma brincadeira contra os pesquisadores de segurança.
Mais detalhes do minerador de criptomoedas Monero
Especulações sobre as origens e intenções reais sobre este minerador de criptomoeda Monero em particular sugerem que as amostras encontradas podem estar testando versões de um malware futuro. Os analistas detectaram que o código continha nomes de arquivos falsos que provavelmente são mecanismos de proteção furtivos que podem ser empregados.
Duas amostras semelhantes foram identificadas durante a investigação. Eles parecem ser uma versão mais simples relacionada provavelmente feita por diferentes autores. Alguns de seus códigos se originam da mesma fonte.
Tudo isso aponta para a possibilidade de ter a fonte original à venda nos mercados clandestinos de hackers. O fato de que as assinaturas ainda não são inteiramente conhecidas dos pesquisadores de segurança mostra que quaisquer ataques futuros podem ser prejudiciais se um ataque em grande escala for executado.
Os invasores anteriores baseados na Coréia do Norte que utilizam vários mineradores de criptomoedas Monero são dois grupos de hackers:
- Bluenorroff - O grupo ficou conhecido por uma intrusão parcialmente bem-sucedida do Banco de Bangladesh. Eles foram capazes de penetrar nos servidores e instalar os vírus neles, gerando uma grande quantidade de receita.
- Andariel - Este grupo de hackers também utiliza vários mineiros Monero. Um alvo de alto impacto era uma grande empresa sul-coreana não divulgada. Eles também são responsáveis por roubos do Ministério da Defesa da Coreia do Sul.
Os especialistas em malware foram capazes de rastrear as transações de Bitcoin entrando e saindo da Coreia do Norte, já que o intervalo de IP do país é muito limitado. Um dos endereços notáveis está negociando ativamente em várias trocas de BitCoin. Ele esteve envolvido em vários ataques de hackers em 2014/2015 onde foi atribuído como um servidor de comando e controle.
A nova onda de ataques entrantes mais uma vez sinaliza a necessidade de os usuários terem uma solução anti-spyware de qualidade. Os usuários de computador podem escanear seus sistemas gratuitamente.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: