A mineração de criptomoedas já passou dos seus dias de gloria. Atualmente, minerar em casa, desgastando o hardware da própria máquina e gastando energia elétrica, pode não ser uma ideia viável. Entretanto, se alguém pode criar um malware que se multiplica sozinho, invade centenas de PCs, burla apps de segurança, remove outros apps mineradores, instala um novo minerador e envia todo os ganhos para seu criador, deixando inconveniências como a conta de energia para trás, então, esse negócio começa a se tornar vantajoso.
Pesquisadores da Unidade 42, da Palo Alto Networks, descobriram um malware capaz de obter os privilégios administrativos dos servidores em nuvem baseados em Linux e desinstalar programas essenciais de segurança.
O malware pertence ao grupo de cryptojackers “Rocke”, e consegue burlar o sistema de segurança por seguir os procedimentos oficiais de desinstalação das aplicações, mantendo-se, desta forma, indetectável.
Além de burlar o sistema de segurança, o malware ainda mata os serviços de outros mineradores que possam estar rodando na máquina e adicionam regras de IP no sistema operacional, a fim de bloquear o acesso deles à internet e inutilizar seu funcionamento.
O próximo passo é fazer o download do minerador e executá-lo, utilizando a técnica do pré-carregamento, que sobe o próprio processo antes dos processos do SO, tentando criar uma espécie de camuflagem para os administradores do sistema.
Um dado estranho a respeito da ação do malware é o fato dele ser extremamente direcionado. Ele foi projetado para remover cinco pedaços de serviços de segurança baseados em nuvem das empresas chinesas Alibaba e Tencent. É como se alguém que conhecesse muito bem os sistemas de segurança destas duas empresas tivesse participado de desenvolvimento do software malicioso.
A Unidade 42 ainda fez um alerta, dizendo que muito mais ataques como esse podem ocorrer em breve.
Fontes