Cryptomining malware tem ransomware destronado como o número um ameaça cibernética, e como tal, que está a evoluir rapidamente. Dito, um minerador Monero baseado em Python usando exploits NSA roubados e desativando recursos de segurança foi descoberto por pesquisadores de segurança.
“No 2016, um grupo que se autodenomina Shadow Brokers vazou uma série de ferramentas de hacking e exploits de dia zero atribuídos aos agentes de ameaças conhecidos como Equation Group, um grupo que está vinculado à Agência de Segurança Nacional (NSA) Unidade de operações de acesso sob medida,Pesquisadores da Fortinet disse. Mais tarde em abril 2017, os hackers lançaram várias façanhas como arma, como ETERNALBLUE e ETERNALROMANCE.
As duas explorações foram destinadas às versões do Windows XP / Vista / 8.1 / 7/10 e Windows Server 2003/2008/2012/2016. Mais especificamente, essas explorações tiraram proveito de CVE-2017-0144 e CVE-2017-0145, corrigido com o boletim de segurança MS17-010.
Pelo visto, a exploração ETERNALBLUE agora está sendo utilizada em malware de criptominação, como Adylkuzz, Smominru e WannaMine, pesquisadores descobriram. A nova peça de malware de criptominação foi apelidada de PyRoMine. Os pesquisadores descobriram o malware depois de acessar um URL suspeito que levou a um arquivo zip contendo um executável com PyInstaller.
Isso é o que Jasper Manuel, da Fortinet, compartilhou em termos de descoberta do novo malware:
Eu encontrei originalmente o URL malicioso hxxp://212.83.190.122/server / controller.zip onde este malware pode ser baixado como um arquivo zip. Este arquivo contém um arquivo executável compilado com PyInstaller, que é um programa que empacota programas escritos em Python em executáveis autônomos. Isso significa que não há necessidade de instalar o Python na máquina para executar o programa Python.
Para extrair e analisar o script Python e os pacotes que ele usa, o pesquisador utilizou uma ferramenta no PyInstaller dubbedpyi-archive_viewer. Usando pyi-archive_viewer, ele foi capaz de extrair o arquivo principal, denominado “controlador”.
O PyRoMine não é o primeiro criptominer a usar exploits NSA previamente vazados para ajudar na sua distribuição entre computadores. Qualquer sistema Windows que não aplicou o patch da Microsoft para a exploração é vulnerável ao PyRoMine e peças de malware semelhantes.
Este malware é uma ameaça real, pois não usa apenas a máquina para mineração de criptomoedas, mas também abre a máquina para possíveis ataques futuros, uma vez que inicia os serviços RDP e desativa os serviços de segurança, o investigador observar. Os usuários que não baixaram o patch da Microsoft para as vulnerabilidades CVE-2017-0144 e CVE-2017-0145 devem fazê-lo o mais rápido possível em aqui.
além do que, além do mais, os usuários devem implantar software anti-malware para proteger seus sistemas contra todas as formas de malware.
digitalizador SpyHunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter