Os funcionários da empresa de análise de malware Intezer têm, de acordo com uma Publicação no blogs descobriram um novo worm que ataca servidores Linux e Windows a fim de usar seu poder computacional para extrair a moeda criptográfica Monero. Como regra, Monero, ao contrário de muitas outras moedas criptográficas, não é calculado com a Asics especial, mas com as GPUs e CPUs convencionais. Os servidores x86 sequestrados atingem, portanto, um alto rendimento.
De acordo com a Intezer, o verme é distribuído e controlado centralmente através de um servidor de comando e controle. Regular Atualizações no servidor sugere que a rede de mineração é administrada por um grupo de hacking ativo.
MySQL, Tomcat e Jenkins como vetores de ataque
O worm se espalha através de interfaces de serviços visíveis publicamente, tais como MySQLTomcat e Jenkins (portos tais como 8080, 7001 e 3306). A minhoca tenta adivinhar senhas fracas para estes serviços através de um ataque de força bruta. Inicialmente, é utilizada uma abordagem de dicionário, na qual as senhas freqüentemente utilizadas são testadas de forma priorizada.
Uma vez que o malware tenha descoberto uma senha, ele distribui um script conta-gotas via bash ou powerhell que instala um minerador MXRig. Além disso, a minhoca então tenta independente na rede do servidor infectado a fim de explorar mais recursos para a criptominagem. Atualmente, o malware não é detectado pelo software antivírus e, portanto, é muito perigoso, de acordo com a Intezer.
Portanto, somente senhas fortes e, se possível, autenticação de dois fatores podem oferecer proteção. A empresa de segurança também recomenda desligar os serviços que não estão sendo utilizados e restringir a acessibilidade dos serviços necessários a partir do exterior. Além disso, de acordo com a Intezer, software que é mantido atualizado pode muitas vezes evitar a infecção por malware.
