A mineração de criptomoedas está mais uma vez em seu pico. Cão de guarda, um malware de mineração que existe há pelo menos alguns anos, é uma das maiores e mais duradouras operações de Monero-mineração até agora. A operação está em andamento, e devido ao seu tamanho, é um desafio englobá-lo, Unidade 42 (Palo Alto) disseram pesquisadores.
A operação é chamada WatchDog, tirado do nome de um daemon Linux chamado watchdogd. A operação de mineração WatchDog está em execução desde janeiro. 27, 2019, e coletou pelo menos 209 moeda (XMR), valorizado por estar por perto $32,056 USD. Os pesquisadores determinaram que pelo menos 476 sistemas comprometidos, composto principalmente de instâncias de nuvem do Windows e NIX, vêm realizando operações de mineração a qualquer momento há mais de dois anos, o relatório observou.
WatchDog Monero Miner: Alguns detalhes técnicos
- Composto por um conjunto binário de linguagem Go de três partes e um bash de arquivo de script PowerShell;
- Cada binário executa uma funcionalidade específica;
- A operação de mineração é iniciada pelo terceiro script binário Go no sistema operacional Windows ou NIX.
“O uso de binários Go pelo WatchDog permite que ele execute as operações declaradas em diferentes sistemas operacionais usando os mesmos binários, i.e. Windows e NIX, contanto que a plataforma Go Language esteja instalada no sistema de destino,”A equipe da Unit42 adicionou.
A operação de mineração do WatchDog está nas mãos de codificadores competentes, desde que está voando sob o radar por tanto tempo. Os pesquisadores alertam que a atividade de comprometimento da conta na nuvem pode ser adicionada à operação, já que os atores da ameaça podem facilmente descobrir detalhes relacionados ao IAM nos sistemas de nuvem já afetados. Isso é possível por causa do acesso root e administrador adquirido durante a implementação do minerador.
Vale ressaltar que em 2019 pesquisadores detectaram um mineiro com um nome semelhante, Watchbog.
A campanha Watchbog tinha como alvo os servidores Linux, explorando software vulnerável, como Jenkins, Nexus Repository Manager 3, ThinkPHP, e Linux Supervisord. A campanha maliciosa anteriormente era aproveitando as vulnerabilidades Exim e Jira, como CVE-2019-10149. No 2019, uma pesquisa Shodan indicou que pelo menos 1,610,000 servidores Exim vulneráveis estavam em risco. além do que, além do mais, um total de 54,000 Os servidores Atlassian Jira também eram vulneráveis, conforme indicado pelos dados BinaryEdge.