Firma de segurança cibernética Check Point Research reporta o 'evolvente' Cryptojacking do Monero

A empresa de segurança cibernética Check Point Research descobriu que o Cryptojacker da KingMiner, baseado na criptomoeda Monero (XMR), está "evoluindo", de acordo com o post publicado em 30 de novembro.

A KingMiner foi supostamente detectada primeiramente em meados de junho, evoluindo subsequentemente em duas versões melhoradas. O malware ataca os servidores Windows implantando vários métodos de evasão para contornar sua detecção. Pelos dados da Check Point, vários mecanismos de detecção registraram taxas de detecção significativamente reduzidas, enquanto os registros de sensores mostraram um número crescente de ataques KingMiner.

A empresa vem monitorando a atividade da KingMiner nos últimos seis meses e concluiu que o malware evoluiu em duas novas versões. O post do blog explica ainda:

“O malware adiciona continuamente novos recursos e contorna métodos para evitar a emulação. Principalmente, ele manipula os arquivos necessários e cria uma dependência crítica durante a emulação. Além disso, como parte da evolução contínua do malware, encontramos muitos espaços reservados para operações futuras ou atualizações futuras que tornarão esse malware ainda mais difícil de detectar”.

A Check Point determinou que a KingMiner usa um pool de mineração privado para contornar qualquer detecção de suas atividades, em que a API da piscina é desativada e a carteira não é usada em qualquer pool de mineração pública. Os ataques estão amplamente espalhados pelo mundo.

De acordo com as descobertas da empresa, o software malicioso tenta adivinhar senhas dos servidores que ele ataca. Depois que um usuário baixa e executa o arquivo do Scriptlet do Windows, ele identifica a arquitetura relevante da Unidade Central de Processamento (CPU) do dispositivo e faz o download de um arquivo ZIP de carga útil com base na arquitetura da CPU detectada.

O malware acaba destruindo o processo de arquivo .exe relevante e exclui os próprios arquivos, se existirem versões mais antigas dos arquivos de ataque. O Check Point também observa que o arquivo não é um arquivo ZIP real, mas sim um arquivo XML, que contorna as tentativas de emulação.

Como a Cointelegraph informou ontem, a empresa de segurança da internet Kaspersky Labs descobriu que o malware cripto se tornou popular entre os botnets em 2018. Durante o “boom” de criptomoedas do primeiro trimestre de 2018, a quantidade de malware baixado por botnets atingiu 4,6 por cento - em comparação com 2,9 por cento no segundo trimestre de 2017.

Os botnets estão, portanto, cada vez mais sendo vistos como um meio de espalhar o malware de mineração cripto, com os cibercriminosos vendo cada vez mais o cryptojacking como mais favorável do que outros vetores de ataque.