A perigosa tendência de criar novas maneiras de infectar computadores clientes levou ao desenvolvimento do WaterMiner - um malware evasivo da Monero miner. Uma segurança detalhada revela como esse software malicioso tira proveito da segurança fraca e tira proveito de milhares de computadores online para gerar renda na moeda digital Monero.
Revelado o WaterMiner Monero Miner
Pesquisadores de segurança descobriram uma nova malwares mineiro distribuído ativamente na Internet em escala global. Seu nome é designado como WaterMiner Monero Miner, a partir do nome que o computador usa pode adivinhar que foi designado para “meu” a criptomoeda Monero usando os recursos disponíveis das máquinas comprometidas. Os relatórios indicam que esse tipo de ameaça ao computador está se tornando muito popular e pode muito bem se transformar em uma categoria separada assim que se desenvolverem ainda mais..
O malware foi detectado em uma campanha maliciosa que distribui o vírus usando jogos modificados “modificações” que são freqüentemente usados por jogos de computador para enganar jogos ou modificar seus personagens com estatísticas incomuns. O site da vítima que iniciou as infecções pelo WaterMiner. O início dos ataques associados à ameaça ocorreu devido a um mod dos populares videogames Grand Theft Auto, publicados em um fórum de língua russa chamado “Melancia” que se traduz em “Melancia” em russo.
Os hackers o distribuíram através de diferentes perfis, o que torna impossível descobrir a primeira fonte original. Uma das razões mais importantes pelas quais o minerador WaterMiner Monero é tão bem-sucedido é porque os arquivos de vírus foram limpos por uma verificação total do Virus. É possível que os criminosos tenham falsificado as varreduras para confundir os alvos para se infectarem. O mod malicioso que hospeda o minerador WaterMiner Monero está hospedado no Yandex.Disk, um dos populares serviços russos de compartilhamento de arquivos em um arquivo RAR.
Recursos do WaterMiner Monero Miner
Depois que as vítimas fazem o download do software mineiro WaterMiner Monero em sua forma arquivada, quando o arquivo RAR é descompactado, vários arquivos são revelados. Entre eles está um arquivo executável chamado “pawncc.exe” que é um script que leva à infecção do WaterMiner Monero. Quando é executado, uma sequência de comandos é executada, que baixa o malware de um servidor remoto. Os pesquisadores observam que a seguinte ordem é seguida:
- Verificação inicial do sistema HenQuando as vítimas executam o aplicativo pela primeira vez, verifica se a máquina já não está infectada com o software WaterMiner. Se não foi encontrado, um marcador de infecção é criado no registro do Windows em “HKLM Software IntelPlatform” com um valor de “Ld566xsMp01a” definido como “Nada”.
- Infecção inicial - O malware é baixado de um site remoto controlado por hackers que hospeda o arquivo de vírus. Os arquivos identificados estão sendo hospedados em um perfil compartilhado do Google Drive. Quando o arquivo é baixado, o marcador de infecção é renomeado para “carregado” e o mineiro é executado no computador comprometido.
- Execução do WaterMiner - O processo malicioso é executado sob o nome “Intel (R) Security Assistent.exe”, mas não prosseguirá se o mercado definido não for especificado como “carregado”. Isso significa que pode ser criado um killswitch simples que desativa o mecanismo de modificação do Registro do Windows.
Durante a investigação, os pesquisadores descobriram vários indicadores únicos na maneira como o vírus é criado. Ele permitiu rastrear o código-fonte de uma versão anterior postada em uma instância de Pastebin. Os comentários dos autores encontrados lá mostram que o malware WaterMiner é intencionalmente feito para infectar os sistemas de destino e usar seus recursos para explorar a criptomoeda Monero e gerar renda para os operadores.
Investigação adicional no WaterMiner Monero Miner
O código fonte descoberto levou a uma análise detalhada dos resultados finais pretendidos. Os comentários são escritos em russo e (felizmente) eles levaram a algumas idéias interessantes sobre a maneira como o WaterMiner é executado.
Quando a instância é executada e iniciada nos computadores clientes, um total de 11 meus arquivos são carregados em uma pasta temporária. Uma instalação persistente é alcançada usando uma combinação de diferentes modificações nas configurações do sistema. Isso efetivamente impossibilita a remoção manual, pois o malware é capaz de rastrear constantemente as ações do usuário ou dos programas antivírus.. Para remover essas infecções, as vítimas devem utilizar uma solução anti-spyware de qualidade. O minerador WaterMiner Monero deve ser baixado apenas uma vez para se esconder da análise de reconhecimento de padrões e outras medidas de segurança.
Além disso, os especialistas em segurança foram capazes de seguir o código na seção TO-DO, que lista futuras atualizações possíveis no mecanismo principal. Os hackers por trás do minerador Monero pretendem agrupar um módulo de backup no malware. Isso permitirá que o programa se proteja automaticamente contra a remoção parcial, acesso ou modificação não autorizada. Outra atualização futura pode trazer um mecanismo de persistência aprimorado usando o Agendador de Tarefas.
O exemplo apresentado é uma instância anterior do malware WaterMiner Monero, que apresenta uma tática de infecção semelhante à versão contemporânea, ou seja, da maneira que o processo é salvo em um arquivo temporário chamado “Intel(R) Security Assistent.exe”. Ele é instalado como uma infecção persistente por meio de um valor de registro definido disfarçado de “Oracle Corporation” inscrição.
Operações com o WaterMiner Monero Miner
O minerador WaterMiner Monero se conecta a um pool predefinido, tendo instruções específicas em seu arquivo de configuração. Um pool de mineração é um nó centralizado que pega um bloco blockchain Monero e o distribui aos pares conectados para processamento. Quando um número definido de compartilhamentos é retornado e verificado pelo pool, uma recompensa na forma de criptomoeda Monero é conectada ao endereço da carteira designado. No caso da instância maliciosa, este é o endereço operado pelos criminosos.
As cepas capturadas foram encontradas para se conectar ao Minergate, que é uma das opções mais populares que os usuários consideram. Relatórios anteriores de que esse é um dos pools amplamente usados por redes de bots e computadores invadidos. O software minerador WaterMiner Monero atual é uma versão modificada do software XMRig de código aberto amplamente utilizado.
Por si só, este não é um malware; no entanto, sua instalação sem o consentimento do usuário é identificada como um grande risco de segurança.. Verificou-se que versões mais antigas do vírus WaterMiner usam outro minerador chamado Nice Hash. A mudança para o XMRig é provavelmente porque o software mais antigo requer uma dúzia de arquivos diferentes para executar corretamente nas máquinas comprometidas.
Os próprios mineradores contam com os recursos disponíveis do sistema para realizar cálculos complexos usando o processador ou as placas gráficas. Um dos sinais mais óbvios de infecção é degradação grave do desempenho. Algumas das amostras capturadas se defendem contra a investigação dos possíveis motivos, procurando continuamente no sistema uma janela aberta com o nome de um dos seguintes nomes ou que contenha uma sequência relacionada: gestor de tarefas do Windows, Gerenciador de tarefas, Anti-vírus, Hacker processo. Os comandos internos mostram que as cadeias são inseridas em russo e inglês.
Se qualquer um dos aplicativos mencionados acima for detectado, ele será encerrado ou o processo de mineração será interrompido.. Este é um recurso de proteção furtiva que tenta mascarar a presença de infecção das vítimas.
Quem está por trás da águaMiner Monero Miner
Um dos aspectos interessantes relacionados ao malware WaterMiiner são seus criadores. Os pesquisadores de segurança tentaram identificar o hacker ou o coletivo criminoso por trás do vírus. A investigação começou com o rastreamento das postagens e atividades dos perfis do fórum que distribuíram os mods de jogos do GTA infectados. A pessoa (ou pessoas) por trás da conta chamada “Martin Opc0d3r” foram cruzados com outras placas da Internet. Os relatórios mostram que, no momento, a distribuição está vinculada apenas à comunidade de jogos encontrada neste site.
Uma das amostras do WaterMiner incluía endereços codificados que hospedam as instâncias de vírus em URLS quase idênticos hospedados em servidores da Web russos. É possível que eles sejam gerados automaticamente por um script ou programa automatizado. Amostras adicionais foram encontradas em vários domínios, seguindo um algoritmo compartilhado.
Alguns dos links identificados pelos pesquisadores não estão mais acessíveis. Durante as investigações, os especialistas observam que cepas semelhantes foram encontradas. É provável que sejam versões personalizadas do minerador WaterMiner Monero. Um trecho de código Pastebin associado ao perfil do hacker sugere que alguns dos arquivos com o mesmo nome ou o mesmo nome são instâncias reais de Trojan e não o próprio minerador de malware.
À medida que a investigação continuava analisando o comportamento, frequência de postagens, links e outras atividades do perfil associado aos atacantes, os pesquisadores observam que o cibercriminoso tem experiência no uso de diferentes sites e redes. No entanto, um dos perfis na rede social russa VK uma identidade diferente chamada Anton foi usada.
Durante uma discussão com outro usuário, o homem sob o nome de Anton admitiu ser o homem por trás da identidade maliciosa. Quando as informações foram cruzadas pelos investigadores, eles puderam confirmar parcialmente que essa pessoa é o hacker responsável pelo minerador Monero.
As infecções ativas do mineiro WaterMiner Monero podem ser removidas usando uma solução anti-spyware de qualidade. Instâncias encontradas podem ser removidas com eficiência com apenas alguns cliques do mouse.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter