A Guardicore Labs, empresa de cibersegurança, afirma ter dent um malware complexo de mineração de criptomoedas com dois anos de existência. Trata-se de um bot malicioso que permaneceu indetectado no setor de mineração de criptomoedas por mais de dois anos.
A revelação surge num momento em que golpistas estão à espreita por toda parte, aproveitando-se da pandemia do coronavírus. Existem muitas instituições de caridade que utilizam criptomoedas e que buscam ajuda para combater a COVID-19, e pesquisadores estão alertando sobre os golpes relacionados.
A ameaça das botnets de mineração de criptomoedas é real.
Denominada “Vollgar”, a ameaça está associada à Vollar (VSD), uma criptomoeda alternativa em desenvolvimento. No entanto, ela tem como alvo sistemas Windows que utilizam servidores MS-SQL. De acordo com a empresa de cibersegurança , existem cerca de meio milhão de máquinas espalhadas pelo mundo que utilizam esses servidores.
Embora essas máquinas sejam raras, seus servidores oferecem poder de processamento significativo. Mais preocupante é o fato de que esses servidores armazenam senhas de usuários, nomes e dados bancários, incluindo informações críticas de cartões de crédito.
Como funciona a botnet de mineração de criptomoedas
O complexo malware de mineração de criptomoedas prospera em servidores MS-SQL. No entanto, o grupo Vollgar tende a eliminar outras atividades de ameaças e implantar suas ferramentas de acesso remoto (RATs), além dos próprios mineradores. O relatório acrescenta ainda que 60% das infecções foram de curta duração; cerca de 20% dos infectados permaneceram infectados por várias semanas, enquanto 10% foram ataques repetidos.
Os ataques apontam para cerca de 120 endereços IP originários da China . No entanto, a Guardicore destaca que esses endereços têm algo em comum: seus servidores estão comprometidos e sendo usados para infectar outros. A empresa de segurança afirma ainda que a culpa recai sobre as empresas de hospedagem corruptas.
As empresas de hospedagem são as culpadas, pois facilitam o uso de seus nomes de domínio e endereços IP por atacantes. Se os provedores não monitorarem as atividades, o aumento dos ataques continuará prejudicando os usuários de criptomoedas por muito tempo.
A botnet de mineração de criptomoedas Vollgar tem como alvos os ataques.
Segundo Ophir Harpaz, pesquisador de cibersegurança da Guardicore Labs, o Vollgar é superior a outras ferramentas de mineração de criptomoedas. O malware mina diversas altcoins, incluindo Vollar e Monero. Além disso, o bot utiliza um pool privado como rede para sua mineração.
O pesquisador observa ainda que o bot possui capacidades de geração de múltiplas receitas. Para isso, ele utiliza diversos BATs (bots de acesso a criptomoedas) além do minerador de criptomoedas, tornando-o uma ferramenta eficaz no mundo do cryptojacking.
A Guardiscore afirma que suas investigações mostram que o primeiro ataque associado à botnet de mineração de criptomoedas foi detectado em maio de 2018. Isso significa que se passaram quase dois anos desde o primeiro registro de atividade.
