Os especialistas acreditam que um grupo experiente de cibercrime criou um botnet a partir de sistemas com base em Linux comprometidos e está usando esses servidores e dispositivos para explorar o Monero, uma moeda digital.
Trapaceiros aparentemente estão usando ataques de força bruta contra sistemas Linux que apresentam portas SSH expostas. Se eles adivinharem a senha, eles usam scripts Python para instalar um mineiro Monero.
De acordo com especialistas da F5 Networks, os atacantes também começaram a usar uma exploração para o servidor JBoss (CVE-2017-12149) para invadir computadores vulneráveis, mas os ataques SSH e ataques de força bruta representam o pão e a manteiga deste botnet novo.
Os scripts Python são mais difíceis de detectar
O ataque é único quando comparado a outros botnets de mineração de Monero que surgiram nos últimos meses, confiando em scripts Python, e não em binários de malware.
“Ao contrário de uma alternativa de malware binário, um malware baseado em linguagem de script é mais evasivo por natureza, pois pode ser facilmente ofuscado”, dizem os especialistas da F5. “Também é executado por um binário legítimo, que poderia ser um dos intérpretes PERL / Python / Bash / Go / PowerShell fornecidos com quase todas as distribuições Linux / Windows”.
Apesar disso, uma vez que os pesquisadores identificaram amostras do malware, sua construção não era tão complexa.
Como funciona o malware PyCryptoMiner
Os especialistas dizem que depois de infectar as vítimas, os criminosos baixam um script Python inicial e muito simples, baseado em base64, que reúne informações sobre o sistema das vítimas e relatórios para um servidor C & C remoto.
O servidor responde com um segundo script Python na forma de um arquivo de dicionário Python que instala uma versão do cliente de mineração Minerd Monero de código aberto.
Os especialistas dizem que identificaram duas carteiras Monero usadas por esta botnet, que eles chamaram de PyCryptoMiner. Um continha 94 Monero e o segundo continha 64 Monero, por um total aproximado de US $ 60.000.
Botnet amarrada ao ator de ameaça antigo
Além disso, os pesquisadores disseram que os nomes de domínio C & C usados por PyCryptoMiner foram registrados por um indivíduo que estava vinculado a mais de 36.000 nomes de domínio e 234 outros endereços de e-mail, todos usados para domínios envolvidos em fraudes, jogos de azar e serviços para adultos.
Mais uma coisa que os pesquisadores achavam interessante era o fato de PyCryptoMiner usar um link Pastebin codificado para recuperar a localização de um servidor C & C de backup quando o domínio principal estava desativado.
Os especialistas dizem que esta URL do Pastebin foi visualizada mais de 175.000 vezes. Este não é o tamanho real do botnet, pois os bots poderiam ter visto esta página várias vezes. Um indicador mais claro do tamanho real do botnet foi o aumento diário de cerca de 1.000 visualizações.
Este é um botnet de mineração Monero muito pequeno, mas ainda era suficiente para os autores fazerem mais de US $ 60.000, mostrando o quão popular e lucrativo esses botnets podem ser no momento. No início desta semana, quando os pesquisadores da F5 publicaram suas descobertas , a botnet estava baixa e fora de serviço.
Nos últimos meses, o malware da mineração da Monero tornou-se bastante popular. Excluindo eventos de cryptojacking – que também são o meu Monero – algumas das famílias de malware da minera de Monero e botnets que vimos em 2017, incluem Digmine , um botnet sem nome visando sites do WordPress , Hexmen , Loapi , Zealot, WaterMiner , um botnet sem nome que alveja servidores IIS 6.0 , CodeFork e Bondnet .
[su_button url=”https://www.bleepingcomputer.com” target=”blank” text_shadow=”0px 0px 0px #000000″ rel=”nofollow”]FONTE: BLEEPING COMPUTER[/su_button]
