Pesquisadores da Kaspersky descobriram recentemente o malware PowerGhost, um minerador de criptomoedas focado principalmente em redes corporativas.
A natureza “sem arquivo” do PowerGhost permite que o malware se instale nas estações de trabalho e servidores das vítimas sem ser notado. A maioria dos ataques registrados até agora aconteceram na Índia, Turquia, Brasil e Colômbia.
Malware PowerGhost
Depois de invadir a infraestrutura de uma empresa, o malware PowerGhost tenta acessar contas de usuário de rede por meio da Instrumentação de Gerenciamento do Windows (WMI), ferramenta legítima de administração remota.
O malware obtém logins e senhas com o uso de uma ferramenta de extração de dados chamada Mimikatz. O minerador também pode ser distribuído por meio do Eternal Blue, exploit para Windows usado pelos criadores do WannaCry e ExPetr. Vale lembrar que essa vulnerabilidade explorada pelo Eternal Blue já foi corrigida pela Microsoft, mas muitas empresas ainda não implementaram esta correção.
Uma vez nos dispositivos das vítimas, o malware tenta ampliar seus privilégios por meio de diversas vulnerabilidades do Sistema Operacional (veja a publicação no Securelist para detalhes técnicos). Depois disso, o minerador consegue um ponto de apoio no sistema e começa a faturar criptomoedas para seus desenvolvedores.
Por que o malware PowerGhost é perigoso?
Como qualquer minerador, o PowerGhost usa seus recursos computacionais para minerar criptomoedas. Isso reduz a performance do servidor e outros dispositivos, assim como acelera significativamente o seu desgaste, o que leva a custos de reposição.
No entanto, comparado com a maioria destes programas, o malware PowerGhost é mais difícil de detectar porque não baixa arquivos maliciosos para o dispositivo. E isso significa que pode operar por mais tempo disfarçado no seu servidor ou estação de trabalho, e causar mais danos.
Além disso, em uma versão do malware, os especialistas da Kaspersky descobriram uma ferramenta para ataques DDoS. O uso dos servidores de uma empresa para bombardear outra vítima pode desacelerar ou até mesmo paralisar atividades operacionais. Uma característica interessante é a habilidade do malware de verificar se está sendo executado em um sistema operacional verdadeiro ou em uma sandbox, o que permite desviar de soluções de segurança comuns.
Para evitar infecção e proteger equipamentos do ataque do malware PowerGhost e de outros malwares parecidos, você deve monitorar atentamente a segurança das redes corporativas.
• Não ignore atualizações de softwares e de sistemas operacionais. Todas as vulnerabilidades exploradas pelo minerador já foram corrigidas pelos fornecedores. Criadores de vírus tendem a basear suas criações em exploits para vulnerabilidades corrigidas há muito tempo.
• Aprimore as habilidades de conscientização de segurança dos funcionários. Lembre que muitos incidentes cibernéticos são causados pelo fator humano.
• Utilize soluções de segurança confiáveis com tecnologia de análise comportamental – essa é a única maneira de capturar ameaças sem arquivos.
Fonte: Kaspersky Brasil
O post Malware PowerGhost é usado para mineração de criptomoedas apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br