0
0
Até agora, invasores sequestraram ao menos 476 dispositivos Windows e Linux para minerar a criptomoeda Monero
Um dos maiores e mais duradouros ataques de criptojacking para mineração da moeda virtual Monero que se tem notícia até hoje está no radar de pesquisadores de cibersegurança há mais de dois anos. Trata-se do malware de mineração de criptomoedas chamado WatchDog, que continua em operação até o momento.
Devido ao tamanho e escopo da infraestrutura do malware, os pesquisadores avaliam que será difícil contê-lo totalmente. Até agora, os invasores sequestraram ao menos 476 dispositivos Windows e Linux, a fim de explorar os recursos do sistema para minerar a criptomoeda Monero.
No momento, os invasores por trás desta campanha estão se atendo ao roubo de criptografia, mas os pesquisadores alertam que é “altamente provável” que eles possam encontrar dados de gerenciamento de identidade e acesso (IAM) em sistemas de nuvem comprometidos, devido ao acesso raiz e administrativo adquirido durante a implantação do malware. Isso pode abrir a porta para futuros — e mais perigosos — ataques.
“Está claro que os operadores do WatchDog são programadores qualificados e têm desfrutado de uma relativa falta de atenção das vítimas para suas operações de mineração”, disseram pesquisadores da Palo Alto Networks. “Embora atualmente não haja nenhuma indicação de atividade adicional de comprometimento da nuvem [ou seja, a captura de identidade da plataforma de nuvem e credenciais de gerenciamento de acesso, ID de acesso ou chaves], pode haver potencial para mais comprometimento da conta da nuvem”
Quanto dinheiro o malware criptomining faz?
O ataque é um excelente exemplo de criptojacking, que ocorre quando os invasores aproveitam a criptominação maliciosa para obter lucro financeiro. Eles fazem isso invadindo dispositivos para instalar software, que então usa a energia e os recursos dos dispositivos para minerar criptomoedas ou roubar carteiras de criptomoedas pertencentes às vítimas.
Desde que foi lançada em 27 de janeiro de 2019, a operação de mineração WatchDog coletou pelo menos 209 moedas de criptomoeda Monero (XMR) —atualmente cotada a US$ 32.056. Embora o valor pareça ser relativamente baixo, a parte importante das operações de criptojacking não é o preço de mercado imediato, mas o XMR total extraído, disse ao site Threatpost Nathaniel Quist, pesquisador sênior de ameaças à nuvem da Unidade 42 da Palo Alto Networks.
No momento em que a pesquisa foi feita, o preço de mercado do Monero era de US$ 153. Mas, apenas nas últimas 24 horas, o preço de mercado do XMR disparou para US$ 254, explicou Quist — com base nisso é possível deduzir que na quarta-feira da semana passada, 10, o WatchDog arrecadou US$ 53.086.
Funcionalidades do WatchDog
Os pesquisadores disseram que o malware de mineração WatchDog é composto por um conjunto binário de três partes da linguagem Go e um arquivo de script bash ou PowerShell. Go, uma linguagem de programação de código aberto, já foi utilizada por vários cibercriminosos para vários ataques de criptojacking, incluindo TeamTNT e os desenvolvedores de ElectroRAT.
Cada um dos binários Go do WatchDog executa uma funcionalidade específica, incluindo uma que emula a funcionalidade do daemon watchdog do Linux (daí o nome do malware, WatchDog) garantindo que o processo de mineração não sobrecarregue ou pare inesperadamente. A funcionalidade do watchdog daemon é abrir o dispositivo e fornecer uma atualização necessária para evitar que o sistema reinicie. Por exemplo, ele pode testar o espaço da tabela do processo, o uso da memória e os processos em execução.
Os binários Go incluem um scanner de rede e binário de exploração (networkmanager), um binário de monitoramento de processo (phpguard) e uma versão do software malicioso de criptografia XMRig (phpupdate).
O vetor de ataque inicial origina-se do binário networkmanager. Quando o binário identifica um alvo vulnerável, ele tenta comprometer o sistema identificado usando um conjunto robusto de explorações de aplicativos integrados.
O networkmanager vem carregado com 33 exploits, 32 funções de execução remota de código individual (RCE) e várias funções de captura de shell. Por exemplo, ele verifica aplicativos como servidores Elasticsearch que são vulneráveis a CVE-2015-1427 e CVE-2014-3120 e servidores Oracle WebLogic vulneráveis a CVE-2017-10271.
Segundo os pesquisadores, o WatchDog é mais furtivo do que outro malware de criptomineração, como o malware de mineração Monero wormable Graboid. Descoberto no ano passado, o Graboid foi a maior operação de mineração conhecida até o momento em termos de número total de sistemas ativos. Durante o período de operação, ele utilizava ao menos 2 mil sistemas Docker Daemon APIs expostos e comprometidos, e os pesquisadores disseram que o malware também poderia ter alcançado “velocidades de processamento mais altas” devido ao script de configuração utilizando todas as unidades de processamento central (CPUs) de contêiner disponíveis.
Na verdade, o WatchDog tem uma infraestrutura bastante ampla por trás de suas operações de mineração, com os pesquisadores mapeando 18 endpoints de IP raiz e sete domínios maliciosos, que atendem a pelo menos 125 endereços de URL maliciosos usados para baixar seu conjunto de ferramentas.
Criptojacking: ataque cibernético em ascensão
O WatchDog surge no momento em que o valor da criptomoeda explodiu, tornando o cryptojacking um tipo lucrativo de ataque financeiro para os cibercriminosos. O valor de mercado do XMR segue os preços das criptomoedas do Bitcoin, que no dia 10 deste mês alcançaram um recorde de US$ 51 mil.
“Os cibercriminosos estão observando o valor de mercado do XMR”, disse Quist ao Threatpost. “Nos últimos seis meses, os pesquisadores da Unidade 42 viram um aumento de 40% no tráfego da rede para ‘piscinas públicas’ de mineração, o que indica que mais operações de mineração estão ocorrendo.” A tendência de mais operações de mineração de XMR parece estar seguindo o preço crescente do valor de mercado de XMR.
FONTE: CISO ADVISOR