DirtyMoe Malware
O aumento meteórico da popularidade, impulsionado pelos ganhos ainda mais impressionantes de valor obtidos por várias criptomoedas diferentes, colocou o setor de nicho anteriormente sob os holofotes do público. Os atores de ameaças também perceberam a tendência e rapidamente mudaram suas operações para abusar dela. Inúmeros botnets e ferramentas de malware foram criados ou equipados com recursos de mineração de criptografia. Os atores da ameaça podem então sequestrar os recursos de milhares de sistemas comprometidos e usá-los para extrair moedas de uma criptomoeda específica. Uma das ferramentas de malware mais recentes e sofisticadas desse tipo é o malware DirtyMoe. Até agora, a ameaça foi alavancada contra alvos na Rússia, mas as vítimas também foram detectadas em países europeus e asiáticos. De acordo com pesquisadores da Infosec, cerca de cem mil máquinas infectadas com o DirtyMoe estão ativas atualmente.
As versões iniciais do DirtyMoe foram rastreadas por pesquisadores da infosec sob o nome de NuggetPhantom e muitas vezes eram instáveis e facilmente capturadas por produtos de segurança cibernética. Desde então, no entanto, o malware passou por uma evolução significativa e agora é uma ameaça elusiva e modular que exibe várias técnicas de anti-detecção e anti-análise.
A cadeia de ataques do DirtyMoe começa com os hackers em busca de vítimas vulneráveis a vários exploits. Um deles é a infame vulnerabilidade EternalBlue (CVE-2017-0144) que surgiu em 2017, mas, aparentemente, ainda existem sistemas não seguros suficientes para fazer os agentes de ameaças acharem que vale a pena continuar abusando dele em suas operações prejudiciais. Outra das explorações favorecidas pelo DirtyMoe é a vulnerabilidade de corrupção de memória do mecanismo de script (CVE-2020-0674) encontrada no Internet Explorer. As vítimas são atraídas por e-mails de phishing contendo URLs não seguros.
Estrutura Modular
A principal característica do malware DirtyMoe é sua modularidade. O principal componente é o DirtyMoe Core. É responsável por baixar, atualizar, criptografar, criar backups e proteger a ameaça DirtyMoe. O Core também tem a tarefa de alimentar um código corrompido para o DirtyMoe Executioner, que irá então, como o nome sugere, executá-lo. O código injetado é denominado Objeto MOE ou Módulo e é obtido no servidor de Comando e Controle da operação.
O comportamento específico da ameaça de malware pode ainda ser ajustado para se adequar aos objetivos dos atores da ameaça. Os cibercriminosos podem comandar o DirtyMoe para baixar uma carga criptografada com a funcionalidade desejada e injetá-la em si mesmo. Em algumas horas, milhares de instâncias de DirtyMoe podem ser modificadas dessa maneira. Na verdade, o DirtyMoe pode ser usado para lançar ataques DDoS, executar atividades de mineração de criptografia ou fornecer cargas adicionais ameaçadoras, como coletores de dados, ransomware, Trojans e muito mais.
Capacidades Potentes de Ocultamento e Autodefesa
O DirtyMoe emprega VMProtect para proteger seu principal núcleo ameaçador. Ele também utiliza um driver do Windows que exibe várias funcionalidades normalmente encontradas em rootkits, como serviço, entrada de registro e ocultação de driver. O driver pode ainda ser instruído a ocultar arquivos específicos no volume do sistema da máquina infectada ou injetar DLLs arbitrárias em qualquer processo recém-criado. A comunicação em rede também é alcançada por meio de uma técnica potente. A ameaça carrega um conjunto de servidores DNS codificados que usa para fazer uma solicitação DNS a um domínio codificado. No entanto, para o endereço IP final e a porta, o DirtyMoe usa uma sequência diferente de solicitações DNS. Como resultado, DirtyMoe torna-se resistente ao bloqueio de seu IP final. Também é praticamente irreal bloquear solicitações de DNS para servidores DNS como Google, Cloudflare e serviços semelhantes.
