Os operadores da botnet Satori estão varrendo internet em busca de dispositivos vulneráveis para mineração da criptomoeda Ethereum.
Este comportamento foi detectado por três fontes: SANS ISC, Qihoo 360 Netlab e GreyNoise Intelligence.
Para quem não sabe, botnets são redes de computadores infectados controladas por criminosos e usadas para envio de spam, roubo de informações, ataques de negação de serviço (DDoS) e outras atividades criminosas.
Botnet Satori procura dispositivos vulneráveis para mineração da criptomoeda Ethereum
Mais especificamente, os criminosos estão procurando por dispositivos com a porta 3333 exposta online. Esta porta é normalmente usada para gerenciamento remoto por uma grande variedade de equipamentos para mineração de criptomoedas.
De acordo com os pesquisadores da Netlab, a varredura teve início no dia 11 de maio. A Netlab foi a primeira detectar este comportamento e sua ligação com a botnet Satori.
Mais detalhes foram divulgados posteriormente quando a análise da GreyNoise descobriu que os criminosos estavam procurando ativamente por equipamento rodando o software de mineração Claymore.
Quando a varredura detecta um dispositivo com o software Claymore e com a porta 3333 exposta, os criminosos enviam certos comandos para reconfigurar o dispositivo vulnerável e assim ele passa a fazer parte da botnet e a minerar a criptomoeda Ethereum.
A GreyNoise também detectou endereços IP do México como alguns dos responsáveis pela varredura. Um detalhe é que dias antes milhares de roteadores GPON foram comprometidos e atacados por cinco diferentes botnets – com a Satori sendo uma delas.
O SANS ISC também conseguiu identificar o exploit usado pelos atacantes contra o software Claymore, uma vulnerabilidade identificada como CVE-2018-1000049 que permite a execução remota de códigos e que também possui um exploit prova-de-conceito disponível online.
O post Botnet Satori procura dispositivos vulneráveis para mineração da criptomoeda Ethereum apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br