Escolha uma Página

Pesquisadores de segurança cibernética da ESET disseram na quinta-feira que derrubaram uma parte de uma botnet de malware que compreende pelo menos 35.000 sistemas Windows comprometidos que os invasores usavam secretamente para minerar a criptomoeda Monero.

A botnet, chamada “VictoryGate”, está ativa desde maio de 2019, com infecções relatadas principalmente na América Latina, particularmente no Peru, que representam 90% dos dispositivos comprometidos.

“A principal atividade da botnet é a mineração de criptomoedas Monero”, disse a ESET . “As vítimas incluem organizações nos setores público e privado, incluindo instituições financeiras”.


A ESET disse que trabalhou com o provedor de DNS dinâmico No-IP para derrubar os servidores maliciosos de comando e controle (C2) e que configurou domínios falsos (também conhecidos como buracos) para monitorar a atividade do botnet.

Os dados do sinkhole mostram que entre 2.000 e 3.500 computadores infectados se conectam aos servidores C2 diariamente durante fevereiro e março deste ano.

Segundo os pesquisadores da ESET, o VictoryGate se propaga através de dispositivos removíveis, como drives USB, que, quando conectados à máquina vítima, instalam uma carga maliciosa no sistema.

No entanto, os fundos não foram roubados de todas as contas dessa maneira. Os pesquisadores teorizam que isso pode ocorrer porque os criminosos buscam apenas contas de alto valor ou que precisam varrer manualmente as contas.


Além disso, o módulo também se comunica com o servidor C2 para receber uma carga secundária que injeta código arbitrário em processos legítimos do Windows, como a introdução do software de mineração XMRig no processo ucsvc.exe (ou Boot File Servicing Utility), facilitando a mineração Monero.

“A partir dos dados coletados durante nossas atividades de perfuração, podemos determinar que existem, em média, 2.000 dispositivos minerando ao longo do dia”, disseram os pesquisadores. “Se estimarmos uma taxa média de hash de 150H / s, poderíamos dizer que os autores desta campanha coletaram pelo menos 80 Monero (aproximadamente US $ 6.000) somente dessa botnet”.

Com as unidades USB sendo usadas como vetor de propagação, a ESET alertou para novas infecções que poderiam ocorrer no futuro. Mas com uma parte significativa da infraestrutura C2 afundada, os bots não receberão mais cargas secundárias. No entanto, aqueles que foram comprometidos antes da desativação dos servidores C2 continuariam a minerar o Monero.

“Uma das características interessantes do VictoryGate é que ele mostra um esforço maior para evitar a detecção do que campanhas anteriores e similares na região”, concluiu a equipe de pesquisa.

“E, como o botmaster pode atualizar a funcionalidade das cargas úteis que são baixadas e executadas nos dispositivos infectados da mineração criptográfica para qualquer outra atividade maliciosa a qualquer momento, isso representa um risco considerável”.

The Hacker News

"Quebre os cadeados, se solte das correntes, viva a vida como ela é. Não como a sociedade te obriga."

– Pensador Desconhecido

Quer aprender técnicas hacking ?

Pin It on Pinterest

Share This

Compartilhar

Compartilhe com seus amigos!