Malware Operation Prowli infecta mais de 40.000 máquinas que eram usadas para mineração de cripto

A equipe de segurança da GuardiCore descobriu uma campanha de manipulação de tráfego e mineração de criptomoeda maliciosos, de acordo com um anúncio publicado em 6 de junho. A campanha infectou mais de 40.000 máquinas em vários setores, incluindo finanças, educação e governo.

A campanha chamada Operation Prowli utilizou várias técnicas, como exploits e força bruta contra senhas, para espalhar malware e assumir o controle dispositivos, como servidores da web, modems e dispositivos Internet das Coisas (IoT). A GuardiCore descobriu que os atacantes por trás do Prowli estavam focados em ganhar dinheiro ao invés de ideologia ou espionagem.

De acordo com o relatório, os dispositivos comprometidos foram infectados com um minerador de Monero (XMR) e com o worm r2r2, um malware que executa ataques de força bruta SSH aos dispositivos hackeados e apoia o Prowli para afetar novas vítimas. Em outras palavras, ao gerar aleatoriamente blocos de endereços IP, o r2r2 tenta forçar logons SSH com um dicionário de usuário/senha e quando tem êxito, executa uma série de comandos na vítima. A GuardiCore escreveu:

"Todos os ataques se comportaram da mesma maneira, comunicando-se com o mesmo servidor C&C para baixar uma série de ferramentas de ataque chamadas r2r2, juntamente com um minerador de criptomoeda".

Além disso, os cibercriminosos usaram um webshell de código aberto chamado “WSO Web Shell” para alterar os sites comprometidos para hospedar códigos maliciosos que redirecionam os visitantes do site para um sistema de distribuição de tráfego, que os redireciona para vários outros sites maliciosos. Uma vez redirecionado para um site falso, os usuários são vítimas ao clicar em extensões de navegadores maliciosos. A equipe da GuardiCore informou que o Prowli conseguiu comprometer mais de 9.000 empresas.

No mês passado, um novo malware de cryptojacking usou meio milhão decomputadores para minerar 133 tokens de Monero em três dias. A empresa de segurança cibernética 360 Total Security descobriu que o malware, conhecido como WinstarNssmMiner, representa um novo desafio para os usuários, devido a sua capacidade de minerar e danificar máquinas infectadas.