Os funcionários da empresa de análise de malware Intezer têm, de acordo com uma Publicação no blogs descobriram um novo worm que ataca servidores Linux e Windows para usar seu poder computacional para extrair a moeda criptográfica Monero. Como regra, Monero, ao contrário de muitas outras moedas criptográficas, não é calculado com asics especiais, mas com as GPUs e CPUs convencionais. Os servidores x86 sequestrados atingem, portanto, um alto rendimento.
Segundo o Intezer, o worm é distribuído centralmente e controlado através de um servidor de comando e controle. Regular Actualizações no servidor sugere que a rede de mineração é administrada por um grupo de hacking ativo.
MySQL, Tomcat e Jenkins como vetores de ataque
O worm espalha-se através de interfaces de serviços publicamente visíveis, tais como MySQLTomcat e Jenkins (portos como 8080, 7001 e 3306). O verme tenta adivinhar senhas fracas para estes serviços através de um ataque de força bruta. Inicialmente, é utilizada uma abordagem de dicionário, na qual as senhas freqüentemente utilizadas são testadas de forma priorizada.
Uma vez que o malware tenha descoberto uma senha, ele distribui um script dropper via bash ou powerhell que instala um minerador MXRig. Além disso, a minhoca então tenta independente na rede do servidor infectado, a fim de explorar mais recursos para criptominas. Atualmente, o malware não é detectado por software antivírus e, portanto, é muito perigoso, de acordo com a Intezer.
Portanto, apenas senhas fortes e, se possível, autenticação de dois fatores podem fornecer proteção. A empresa de segurança também recomenda desligar os serviços que não estão sendo utilizados e restringir a acessibilidade dos serviços necessários do exterior. Além disso, de acordo com o Intezer, software que é mantido atualizado pode muitas vezes evitar a infecção por malware.
