Nova botnet usa falhas em dezenas de softwares para invadir PCs e minerar Monero

 Pesquisadores da Juniper emitiram, nesta última quinta-feira (8), um alerta a respeito de uma botnet originalmente identificada em dezembro de 2020 e que vem sendo aprimorada a uma velocidade assustadora. O vírus em questão, batizado de Sysrv, é focado na mineração de criptomoedas: ele vasculha a web sozinho em busca de máquinas que possuam software vulneráveis, infecta o dispositivo e passa a gerar quantidades significativas de Monero. A ameaça é compatível com Windows e com Linux.

Quando foi encontrada pela primeira vez, a botnet era razoavelmente simples: usava apenas duas piscinas de mineração (MineXMR e F2Pool) e era considerado um malware multibinário, ou seja, era dividido em duas partes distintas. Agora, voltando a analisá-lo em março, os especialistas perceberam que os as seções foram mescladas em apenas um único binário e que o worm começou a tentar instalar chaves SSH nos sistemas infectados como uma forma de ganhar persistência, resistindo a um reboot do computador.

"Nossos pesquisadores acreditam que o agente malicioso terá melhor controle e gerenciamento com um único binário, visto que este é constantemente atualizado. O Sysrv também adicionou a nanopool como uma nova piscina de mineração. Por fim, identificamos um novo desenvolvimento no script do carregador, onde ele tenta adicionar chaves SSH ao sistema infectado. Acreditamos que essa seja uma forma de o ator malicioso ganhar mais persistência e pode levar a ataques mais sofisticados", explica a Juniper.

O mais assustador é o “arsenal” de vulnerabilidades usado pela botnet para infectar sistemas: ela já é capaz de se aproveitar de 14 falhas (todas conhecidas) caso o usuário ainda não tenha corrigido-as através de patches de segurança. Esses bugs encontram-se em softwares usados para fins profissionais, incluindo Laravel, Oracle WebLogic, Mongo Express, Apache Solr, PHPUnit, Jenkins, Tomcat Manager e até mesmo Wordpress. Neste último, a infecção é feita via força bruta.

Uma análise da carteira de criptomoedas para a qual os resultados da mineração são enviados mostra que, no mês de março, os criminosos responsáveis por operar o malware lucraram 8 XMR, o que equivale a cerca de US$ 1,7 mil ou R$ 9,7 mil; hoje, porém, estima-se que a taxa de mineração esteja na faixa de 1 XMR a cada dois dias. Felizmente, por enquanto, o Sysrv não causa danos diretos aos seus arquivos, mas é possível que ele evolua posteriormente para entregar outras cepas maliciosas, incluindo ransomwares.

FONTE:CANALTECH