Casa > cibernético Notícias > Smominru Botnet infecta máquinas com Monero Cryptocurrency Miner
CYBER NEWS

Smominru Botnet infecta máquinas com Monero criptomoeda Miner

Smominru botnet

Os analistas de segurança cibernética descobriram um ataque maciço em todo o mundo carregando um malware perigoso chamado botnet Smominru. Ele é capaz de manipular a configuração dos hosts comprometidos e foi encontrado para instalar um minerador de criptomoeda Monero que aproveita os recursos disponíveis e os usa para gerar renda para os operadores. Leia a análise completa para saber mais sobre isso, bem como para descobrir como se proteger de ameaças recebidas. Se alguém experimentar os sintomas de uma infecção ativa por botnet, poderá usar nosso guia detalhado de remoção de Smominru para restaurar seus sistemas.

Smominru Botnet Ataques Surge: Fonte de infecções

Analistas de segurança de computadores detectaram que um novo ataque de botnet que conseguiu infectar milhares de vítimas em muito pouco tempo. No momento, não há informações sobre a identidade do hacker ou do coletivo criminoso por trás dele. Alguns dos especialistas propõem que as pessoas por trás disso sejam um pequeno grupo de hackers.

Anteriormente, parte de seu código era usado para espalhar ameaças como Mirai o que o torna uma arma potente nas mãos de todos os criminosos. As amostras obtidas mostram que os métodos de infecção estão relacionados principalmente a teste de penetração automatizado. A plataforma de ataque pode carregar várias explorações que visam uma ampla variedade de dispositivos, servidores e dispositivos IoT. De acordo com os relatórios divulgados, o aumento da taxa de infecções é causado por baixa segurança e credenciais padrão deixadas pelos proprietários. Os efeitos sobre servidores de banco de dados pode ser particularmente devastador. Eles geralmente são executados em servidores Microsoft Windows e têm acesso tanto à Internet quanto à rede interna. Em muitos casos, eles também são os controladores administrativos de dispositivos como câmeras e outros periféricos. Dois dos exploits mais usados são os seguintes:

  • EternalBlue (CVE-2017-0144) — Este é o exploit conhecido popularmente usado durante os ataques de ransomware WannaCry em maio 2017. Eles exploram vulnerabilidades no protocolo SMB que é usado para compartilhamento de arquivos nas versões contemporâneas do Microsoft Windows.
  • EstimaAuditoria (CVE-2017-0176) — Esta é uma fraqueza no código de autenticação Smart Card usado nas versões de servidor do Microsoft Windows.

Dependendo da configuração do hacker, a ameaça implantada pode ser outra coisa além do botnet Smominru: ransomware, Trojans e etc. No entanto, os relatórios indicam claramente que a principal carga útil em todas as campanhas até agora parece ser a Minerador de criptomoedas Monero. O botnet Smominru ataca vítimas localizadas principalmente em Rússia, Índia, Brasil, Taiwan e Ucrânia.

Story relacionado: WannaMine - Cryptoworm que as minas Monero pela Força

Análise de botnet Smominru: Relatório de Potencial de Danos

Conseguimos obter vários relatórios que mostram como o malware funciona assim que os alvos são escolhidos. Em comparação com outras ameaças semelhantes, ele usa uma sequência de comportamento complexa de fadas. Após a detecção de uma vulnerabilidade, o código de exploração é iniciado automaticamente, o que executa a infiltração.

A próxima parte da infecção do botnet Smominru é feita usando scripts WMI. Eles podem ser programados usando várias linguagens de programação populares (PowerShell e VBScript por exemplo) que baixa e aciona o principal mecanismo de malware. É importante notar que, uma vez que o malware é implantado nos hosts da vítima, ele ganha a capacidade de criar seus próprios processos com privilégios administrativos. Ele também pode se conectar a outros aplicativos automaticamente ou como parte dos padrões de comportamento instalados. Uma vez que a infecção esteja operacional, um arquivo de configuração básico é carregado. Pode variar de vítima para vítima e um número incontável de padrões diferentes podem estar envolvidos. A segunda etapa carrega um módulo Trojan que curiosamente se reporta a um servidor secundário controlado por hackers. Existem duas abordagens principais para isso:

  • O código Trojan pode ser controlado por outro grupo, uma tática popular que às vezes é proposta nos fóruns de hackers subterrâneos. Os criminosos podem planejar invasões de alto perfil organizando-se em grupos - o primeiro cuida das invasões reais, enquanto o segundo gerencia os efeitos consequentes e o código de malware implantado.
  • Se todos os componentes e padrões de comportamento dos hackers são obras do mesmo coletivo criminoso, então o uso de vários servidores de hackers. Se o principal ficar offline, eles ainda terão a capacidade de controlar os hosts infectados.

O próximo passo instala um mineiro criptomoeda que automaticamente começa a aproveitar os recursos de hardware disponíveis. As complexas operações de computação minam o Moeda digital Monero que é transferido para os operadores como lucro. Esta é uma das alternativas mais populares ao Bitcoin e nas últimas semanas vimos vários ataques em grande escala que entregam malware semelhante.

Outra onda de componentes de malware pode seguir o botnet Smominru. A onda final de adições pode levar a mudanças no sistema. Um exemplo é a instituição de um estado persistente de execução que impede automaticamente as tentativas de remoção manual do usuário. Nesses casos, seria necessário o uso de uma solução anti-spyware de qualidade para remover as infecções ativas. Caso existam Modificações de registro do Windows são feitas, os usuários podem experimentar Problemas de desempenho e falha de aplicativo ou serviço.
Atualmente estima-se que cerca de 500 000 os usuários de computador são afetados pelas últimas campanhas de ataque e seu número cresce constantemente. Acredita-se que o lucro gerado equivale a 8900 Monero, que à taxa de câmbio de hoje equivale a cerca de $2,086,409.23.

Story relacionado: Mirai-Based Masuta Internet das coisas Botnet Spreads em um ataque Worldwide

Recursos da estrutura modular do Smominru Botnet

O fato de a botnet ser feita usando uma estrutura modular permite que os grupos criminosos criem novas atualizações. Suspeitamos que o código-fonte possa ser postado on-line nos fóruns clandestinos de hackers para venda ou negociado entre os vários grupos. Os analistas observam que esse tipo de ameaça é categorizado como fileless. Isso significa que todo o ataque pode ser causado por scripts que executam todas as etapas adicionais na memória do computador host até que a ameaça seja instalada completamente.
As verificações antivírus podem ser evitadas se o módulo de recolha de informações é engajado durante os primeiros atos de intrusão. Logo após a execução dos scripts, os hackers podem incorporar um padrão de comportamento específico na configuração do malware. É capaz de escanear o sistema - tanto o disco rígido quanto a memória em execução para informações confidenciais. Existem duas categorias principais de dados que podem ser descritas:

  • Dados pessoais — Os hackers podem coletar strings relacionadas à sua identidade. O mecanismo de malware está programado para adquirir todo tipo de informação relacionada ao nome da vítima, endereço, localização, preferências e até senhas.
  • dados Anônimos — Várias estatísticas relacionadas à versão do sistema operacional e aos componentes de hardware são reunidas pelo mecanismo.

Em muitos casos, devido à infecção profunda, os operadores de malware também podem recuperar dados dos aplicativos instalados pelo usuário.. Um exemplo popular é o navegador da web – os hackers podem coletar os dados armazenados: história, favoritos, dados do formulário, preferências, biscoitos, senhas e credenciais de conta. Usando os mesmos mecanismos, eles também podem impor uma código de redirecionamento modificando a página inicial padrão, motor de busca e novas guias página. Normalmente as vítimas são redirecionadas para páginas de malware que instituem cookies de rastreamento e espionam os usuários.

Algumas das amostras obtidas apresentam um proteção discrição recurso que pode ser configurado individualmente dependendo da campanha de ataque. Usando as informações recuperadas, o botnet pode verificar a presença de software antivírus, ambientes de sandbox e depuração e máquinas virtuais. Eles podem ser ignorados ou removidos e, se o malware não puder fazê-lo, ele pode optar por excluir a si mesmo para evitar a detecção.
Os arquivos de vírus também podem ser programados para infectar o janelas pasta renomeando seus componentes como arquivos de sistema e colocando-os lá. Quando usado em combinação com um keylogger os hackers podem gravar todos os movimentos do mouse e as teclas digitadas em um banco de dados que é retransmitido para os operadores dos hackers.
Durante a análise minuciosa do código, descobriu-se que algumas das amostras de malware produzidas são assinadas usando certificados chineses. É possível que os grupos de hackers estejam operando a partir do ou um de seus servidores está localizado lá.

Os usuários de computador devem estar sempre alertas para infecções por malware. Uma varredura gratuita pode revelar tais ocorrências e permitir uma remoção simples.

Baixar

Remoção de Malware Ferramenta


digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo