Divisão de segurança cibernética da AT&T analisa ameaça de minerador de Cripto a servidores de e-mail

O Alien Labs da AT&T está se aprofundando na análise de malware de criptomineração com uma nova análise tecnológica de como um minerador Monero se infiltra em redes.

Lançado quinta-feira, orelatório pelo pesquisador de segurança Fernando Domínguez fornece um passo a passo de como um cryptojacker de perfil bastante baixo infecta e se espalha por servidores Exim, Confluence e WebLogic vulneráveis, instalando código malicioso que minera Monero por meio de um proxy. Os servidores Exim representam mais da metade de todos os servidores de e-mail, de acordo com ZDNet.

O worm primeiro injeta nos servidores alvo um script BASH que verifica e mata processos de mineração concorrentes antes de tentar se infiltrar em outras máquinas conhecidas na rede. Criptomineradoresmuitas vezes matam mineradores concorrentes quando infectam um sistema, e por uma razão muito simples: quanto mais CPU um processo diferente consome, menos sobra para outros, de acordo com o relatório.

Os servidores violados então baixam a carga útil do script: uma “omelete” (como a variável do arquivo executável baixado é chamada) baseada no minerador Monero de código aberto chamado XMRig.

Disponível no GitHub, o XMRig é um favorito dos hackers de malware e um bloco de construção comum no arsenal dos cryptojackers. Ele foi adaptado paraMineradores de MacBook,espalhados por500.000 computadores e, em 2017, tornou-se tão popular que há relatórios de mineração maliciosaatingiu mais de 400por cento.

Este minerador modificado faz seus negócios via proxy, de acordo com a AT&T Alien Labs. Isso torna o rastreamento dos fundos, ou mesmo a identificação do endereço da carteira, quase impossível sem acesso ao servidor proxy.

Fritar essa omelete é difícil. Quando ele baixa, outro arquivo chamado “sesame” – idêntico ao script BASH original – também baixa. Essa é a chave para a persistência do worm: ele se conecta a uma tarefa cron com um intervalo de cinco minutos, permitindo que ele resista a tentativas de eliminação e desligamentos do sistema. Ele pode até mesmo atualizar automaticamente com novas versões.

A AT&T Alien Labs começou a rastrear o worm em junho de 2019. Ele já havia sido estudado pela empresa de análise de segurança em nuvem Lacework em julho.

Os pesquisadores T sabem bem o quão disseminado esse minerador Monero sem nome é. O relatório da Alien Labs admite que “é difícil estimar quanta renda essa campanha relatou ao ator da ameaça”, mas observa que a campanha “não é muito grande”.

No entanto, serve como um lembrete para todos os operadores de servidores: KEEP sempre seu software corrigido e atualizado.