MrbMiner

Descrição do MrbMiner

Uma nova campanha de ataque distribuindo malware de criptomineração para o Microsoft SQL Servers (MSSQL) foi apresentada. Os pesquisadores descobriram as atividades de um grupo de hackers até então desconhecido da divisão de segurança cibernética da mega-corporação chinesa Tencent. Eles apelidaram os hackers de MrbMiner,   o nome de um dos domínios usados para hospedar o malware. De acordo com as descobertas dos pesquisadores, milhares de servidores MSSQL já foram comprometidos.

O ataque começa com os hackers procurando por servidores MSSQL e, em seguida, forçando o caminho tentando várias senhas fracas contra as credenciais do servidor. Se for bem-sucedido, a infecção é iniciada primeiro eliminando um arquivo chamado ' assm.exe. 'O malware atinge persistência enquanto também estabelece um gateway para os hackers, configurando uma conta backdoor com' Padrão 'como nome de usuário e' @ fg125kjnhn987 'como senha.

O objetivo de toda a campanha é entregar malware de mineração de criptografia que explora os recursos do sistema para gerar moedas Monero (XMR). Ao rastrear a carteira de criptomoedas para a variante do malware MSSQL, os pesquisadores descobriram que ela continha cerca de 7 moedas XMR ou cerca de US $ 630. No entanto, o grupo MrbMiner pode estar usando várias carteiras diferentes, que é a prática comum em ataques de botnet de criptografia. Além disso, no servidor Command-and-Control (C2), mais duas variantes do malware foram descobertas - uma projetada para funcionar em servidores Linux, enquanto a outra tem como alvo sistemas de computador baseados em ARM. O malware Linux está sendo implantado ativamente, pois o endereço da carteira já tinha cerca de 3,30 moedas de Monero enviadas para ele.