AcruxMiner
O software AcruxMiner é um minerador digital associado às atividades de malware desde maio de 2018. O programa AcruxMiner foi promovido em fóruns russos como o h[tt]ps://bhf[.]io que oferece acesso a Trojans de Acesso Remoto, ferramentas de força bruta e credenciais roubadaas de usuários da Web. O primeiro anúncio relativo ao AcruxMiner foi notado no h[tt]ps://bhf[.]io/threads/484895/. O programa AcruxMiner foi desenvolvido como um Trojan botnet especializado na mineração de moedas digitais como o Monero (XMR). O AcruxMiner pode ser implantado nos servidores comprometidos, bem como em desktops. Os criadores do AcruxMiner oferecem acesso a um Bot Builder hospedado na Rede TOR quando você compra uma assinatura usando o serviço de mensagens Telegram. O AcruxMiner é gerenciado como uma plataforma Mineiro-como-um-Serviço (McuS) que se beneficia de vários distribuidores que infectam dispositivos e expandem o Botnet do AcruxMiner.
A primeira camada de assinatura do Botnet do AcruxMiner permite que os agentes de ameaças recebam manuais, suporte técnico personalizado e configuração pessoal do AcruxMiner. A versão básica do AcruxMiner é promovida para verificar as transações de Monero (minerador) utilizando placas de vídeo (GPU) disponíveis e o processador central (CPU). O primeiro nível custa US $50 e os preços para o segundo nível apelidado de "Premium" são negociáveis, dependendo das necessidades do usuário. A segunda camada da assinatura do AcruxMiner permite que os agentes de ameaças usem um algoritmo de mineração personalizado, configurem a carga automática de vários fatores e ativem a persistência do sistema. O AcruxMiner vem com uma carteira criptografada e a capacidade de infectar automaticamente os pen drives conectados aos computadores já comprometidos. O AcruxMiner é conhecido por incluir um rootkit e recuperar os seus arquivos se usuários comprometidos tentarem removê-los.
A Botnet AcruxMiner é escrita nas linguagens de programação ASM/C/C++ e não possui dependências. O Botnet do AcruxMiner pode ler o conteúdo da área de transferência do sistema e mapear os computadores conectados. Os pesquisadores de malware informaram que o AcruxMiner é provavelmente o trabalho de pessoas que falam russo, dada a campanha promocional e conexões exclusivas com endereços IP da Rússia. As empresas de AV estão rastreando o desenvolvimento do AcruxMiner e alertam que os seguintes endereços IP são usados para enviar comandos para o Botnet do AcruxMiner:
62.109.28.97
81.177.135.133
81.177.141.211
82.146.60.216
Domínios que hospedam o AcruxMiner:
h[tt]p://antongas-fx[.]ru
h[tt]p://bill.gopetrom[.]com
h[tt]p://bticoin[.]su
h[tt]p://reveszn[.]ru
O Botnet do AcruxMiner é usado para minerar Monero conectando-se ao seguinte pool de mineração - h[tt]p://xmr.pool[.]minergate.com:45700. Os computadores afetados pelo AcruxMiner provavelmente terão um desempenho ruim; você pode notar nomes de processos aleatórios aparecendo no Gerenciador de Tarefas; Você pode notar um aumento da carga do CPU e falhas do software devido à falta de RAM. O Botnet do AcruxMiner pode ser distribuído via e-mails de spam, atualizações falsas do navegador, jogos pirateados, ataques de força bruta e malvertising. Recomenda-se remover o Trojan Botnet do AcruxMiner usando um serviço anti-malware confiável. Os nomes de detecção para o botnet AcruxMiner incluem:
BehavesLike.Win32.Pate.vc
DeepScan:Generic.Application.CoinMiner.1.31B24370
HEUR/QVM19.1.0757.Malware.Gen
PUA.VMProtect
Packed-GV!570A9CC9FD20
Packed.Vmpbad!gen38
TROJ_GEN.R002C0OKD18
TScope.Malware-Cryptor.SB
Trojan.Agent.Miner
Trojan.Win32.CoinMiner.2542080
Trojan/Win32.Miner.C2834012
Trojan:Win32/Fuerboos.C!cl
Win.Dropper.Temonde-6571898-0
Win32.Application.CoinMiner.T@gen
Win32.Trojan.Miner.Stkk
a variant of Win32/CoinMiner.EQ potentially unwanted
