Uma operação de mineração de Monero impactou 30 milhões de usuários

Especialistas de segurança da Palo Alto descobriram uma grande operação de mineração de criptomoedas em larga escala que envolveu 30 milhões de sistemas em todo o mundo, com uma duração de pelo menos 4 meses.

O ataque usou arquivos VBS e serviços de encurtamento de URL para implementar a ferramenta de mineração e os países mais atingidos são a Tailândia ( 3.545.427 ), Vietnã (1.830.065) e a Turquia (665.058).

“A unidade 42 da Palo Alto Networks observou uma operação de mineração de criptomoedas em grande escala que está em operação a mais de 4 meses. A operação minera a criptomoeda Monero usando o utilitário open-source XMRig”, de acordo com a Palo alto.

“Com base nos dados de telemetria publicamente disponíveis via Bitly podemos estimar que as vítimas afetadas por esta operação é cerca de 15 milhões de pessoas em todo o mundo.”

A análise de dados do serviço de encurtamento de URL Bit.Ly revelou que pelo menos 15 milhões de pessoas foram afetadas pela campanha.

Os hackers também usaram o serviço de encurtamento de URL do Ad.fly que remunera os usuários quando alguém clica no link. Quando os usuários clicaram nessas URLs do Ad.Fly e ao ser redirecionados eles baixavam o malware de mineração de criptomoedas ao invés do que realmente era oferecido ao usuário.

A operação de mineração de Monero é enorme e os pesquisadores detectaram mais de 250 arquivos únicos do Microsoft Windows PE e a maioria deles foi baixado do provedor 4sync.

O arquivos tem nomes genéricos e parecem ser originários dos populares serviços de compartilhamento de arquivos.

O software de mineração usado nesta operação é o XMRig que é instalado através de arquivos VBS e ainda, colocado em operação para conectar nos pools.

Os pesquisadores também notaram que eles utilizavam a NiceHash para negociar o poder de processamento.

Segundo especialistas da Palo Alto a data de 20 de outubro foi um marco nesta operação. Antes de 20 de outubro de 2017 os atacantes usavam a ferramentas BITSAdmin nativa do Windows para baixar a ferramenta de mineração XMRig de um local remoto.

Além de algumas exceções a carga final foi instalada principalmente com o nome de arquivo ‘msvc.exe’.

Depois de 20 de Outubro foi observado que os atacantes passaram a usar serviços de redirecionamento HTTP.

Desde 16 de Novembro de 2017 os atacantes pararam de usar os arquivos SFX e adotaram os executáveis compilados no Microsoft .NET Framework.

“A partir de 16 de novembro os atacantes mudaram de novo as táticas em relação ao seu malware. Eles já não usavam os arquivos SFX mas passaram a usar um arquivo executável compilado no Microsoft .NET Framework que escreve um arquivo VBS no disco e modifca a chave de registro Run da vítima para garantir a persistência.”, continua a análise.

“As últimas mudanças que vimos ocorreram no final de dezembro de 2017 quando os atacantes mudaram o vetor que implantava o malware. Além disto eles criaram o arquivo VBS necessário usando um dropper compilado com o Delphi da Borland.
Ao contrário dos droppers .NET esse arquivo coloca o arquivo VBS na pasta de inicialização da vítima para garantir a persistência.
Caso contrário o fluxo de execução permanece o mesmo.”

As últimas amostras que estavam usando este dropper que referiam a um novo endereço para a comunicação do XMRig ( 5.23[.]48[.]207).
“As campanhas de mineração de Criptomoedas Monero certamente nçao são um novo desenvolvimento já que houve várias instâncias relatadas recentemente.

No entanto é menos comum observar uma campanha de grande escala que é relativamente desapercebida por um longo período de tempo.” , conclui a Palo Alto.

 

Via Security Affairs

loading...