CryptoSink
Em 2019, os pesquisadores de malware descobriram uma campanha ilícita de mineração de criptomoedas chamada CryptoSink. Os invasores parecem explorar uma vulnerabilidade conhecida para comprometer os sistemas de destino. A exploração usada na operação CryptoSink é chamada 'CVE-2014-3120' e está relacionada a uma versão mais antiga do aplicativo Elasticsearch. O programa em questão é compatível com os sistemas Windows e Linux. Devido a esse fato, os operadores da campanha CryptoSink tornaram sua ameaça compatível com os dois sistemas operacionais.
Ganhando Persistência
Para comprometer o sistema alvo, a ameaça CryptoSink injeta uma variante modificada do infame minerador de criptomoedas XMRig. Dependendo de a ameaça ser implantada em um sistema Windows ou Linux, ela ganhará persistência no host de maneira diferente. Para ganhar persistência em um computador Windows, a ameaça CryptoSink usaria vários truques básicos. No entanto, quando a ameaça CryptoSink comprometer um sistema Linux, ela precisará utilizar técnicas muito mais complexas para obter persistência. Assim que o malware CryptoSink conseguir infectar um sistema Linux, ele buscará várias cargas corrompidas que ajudarão os invasores a obter acesso backdoor à máquina. A ameaça CryptoSink também é relatada para modificar o comando 'rm', o que significa que sempre que esse comando é usado, em particular, o malware CryptoSink será executado. Dessa forma, mesmo que o usuário remova os arquivos vinculados à atividade de malware CryptoSink, assim que usar o comando 'rm', a ameaça será reimplantada.
Remoção de Concorrentes
Esse mineiro foi projetado para minerar a criptomoeda Monero. A ameaça CryptoSink também é capaz de detectar se há outro minerador de criptomoeda presente no computador infectado. Se forem detectados mineradores concorrentes, a ameaça CryptoSink tentará interromper suas atividades. No entanto, o malware CryptoSink não remove simplesmente outros mineradores que possam ter comprometido o sistema; garante que, se o sistema tentar se conectar a uma lista pré-configurada de pools de mineração, o tráfego será redirecionado para '127.1.1.1' imediatamente. Isso impede que os mineradores concorrentes se conectem ao seu pool de mineração predeterminado.
A operação CryptoSink é muito avançada, e remover o mineiro de um host comprometido pode ser bastante desafiador. Certifique-se de ter uma solução anti-malware genuína instalada que o ajudará na remoção da ameaça CryptoSink.
