Minerador de criptomoedas foca ataques em PCs de empresas

O PowerGhost é um novo minerador de criptomoedas descoberto recentemente pela Kaspersky. De acordo com os especialistas da empresa, o malware tem como foco as redes corporativas e, por sua natureza “sem arquivo”, invade estações de trabalho e servidores das vítimas sem ser notado — o foco corporativo não impede que usuários domésticos acabem com dispositivos infectados.

Até o momento, a maioria dos ataques foram registrados no Brasil, Índia, Turquia e Colômbia

“Depois de invadir a infraestrutura de uma empresa, o PowerGhost tenta acessar contas de usuário de rede por meio da Instrumentação de Gerenciamento do Windows (WMI), ferramenta legítima de administração remota”, explica a Kaspersky. “O malware obtém logins e senhas com o uso de uma ferramenta de extração de dados chamada Mimikatz. O minerador também pode ser distribuído por meio do Eternal Blue, exploit para Windows usado pelos criadores do WannaCry e ExPetr. Teoricamente, essa vulnerabilidade foi corrigida por um ano, mas na prática continua em operação”.

Assim que o PowerGhost invade um computador, o malware tenta ampliar seus privilégios por meio de diversas vulnerabilidades do Sistema Operacional (veja a publicação no Securelist para detalhes técnicos). Depois disso, o minerador consegue um ponto de apoio no sistema e começa a faturar criptomoedas para seus desenvolvedores.

As equipes de Ti devem realizar as atualizações de softwares e de sistemas operacionais assim que possível — e essa dica serve também para você, usuário doméstico

O malware é perigoso porque usa os recursos computacionais do seu PC ou notebook para mineração. Isso significa que você terá um desempenho capado para seus trabalhos, um desgaste superior na vida útil e um custo extra de energia.

“No entanto, comparado com a maioria destes programas, o PowerGhost é mais difícil de detectar porque não baixa arquivos maliciosos para o dispositivo. E isso significa que pode operar por mais tempo disfarçado no seu servidor ou estação de trabalho, e causar mais danos”, afirma a Kaspersky. “Além disso, em uma versão do malware, nossos especialistas descobriram uma ferramenta para ataques DDoS. O uso dos servidores de uma empresa para bombardear outra vítima pode desacelerar ou até mesmo paralisar atividades operacionais. Uma característica interessante é a habilidade do malware de verificar se está sendo executado em um sistema operacional verdadeiro ou em uma sandbox, o que permite desviar de soluções de segurança comuns”.

Para evitar a infecção do PowerGhost, as equipes de Ti devem realizar as atualizações de softwares e de sistemas operacionais assim que possível — e essa dica serve também para você, usuário doméstico. Todas as vulnerabilidades exploradas pelo minerador já foram corrigidas pelos fornecedores. Criadores de vírus tendem a basear suas criações em exploits para vulnerabilidades corrigidas há muito tempo.

Fonte: Tecmundo