NRSMiner

Descrição do NRSMiner

O malware NRSMiner é um programa crypto-jacker que foi encontrado na Intranet (rede de dispositivos fechados) de muitas empresas na Ásia. O cripto-facker NRSMiner foi reportado em 3 de janeiro de 2019 e parece ser uma versão modificada do utilitário de mineração XMRig Monero. O programa NRSMiner é uma ferramenta de mineração do Monero (XMR) que pode ser introduzida em sistemas industriais por terceiros não autorizados. Os cibercriminosos aproveitaram a vulnerabilidade EternalBlue (CVE-2017-0144) que foi divulgada em maio de 2017 para obter acesso aos sistemas não corrigidos.

Os agentes de ameaças ganharam acesso de backdoor a centenas de dispositivos e instalaram uma versão personalizada do XMRig. O NRSMiner crypto jacker explorava a potência disponível do sistema e gerava receita conectando-se a novos pools de mineração todos os dias em que estava sendo executado nos computadores comprometidos. O malware NRSMiner cria um serviço chamado 'snmpstorsrv' que carrega o código de 'snmpstorsrv.dll'. O serviço nocivo foi carregado dentro de uma família de serviços que são executados no 'svchost.exe', que é mantido pelo Windows. Devido à técnica de injeção de código implementada no ataque do NRSMiner e às modestas políticas de segurança nas Intranets, as empresas de segurança demoraram a responder. O serviço 'snmpstorsrv' executa uma série de funções que estão resumidas abaixo:

  • Recolhe informações sobre o tipo de processador e a memória disponível.
  • Recolhe informações gerais do sistema, tais como endereço de IP, ID da máquina e conta do usuário ativa no momento.
  • Verifica se há atualizações disponíveis, faz o download e limpa as dependências da versão anterior.
  • Interpreta as instruções de mineração e executa a operação de mineração.

O componente de mineração do XMR é baixado de um endereço de IP normalmente associado a um nome de domínio aleatório. O minerador é salvo no 'MarsTraceDiagnostics.xml' no diretório System32 e recebe atualizações diárias dos pools de mineração a serem usados. O minerador do 'MarsTraceDiagnostics.xml' é injetado no 'svchost.exe', mas se a operação falhar, um novo arquivo chamado 'TrustedHostex.exe' é criado no System32 e carregado diretamente na memória do sistema. O crypto-jacker NRSMiner é categorizado como um minerador avançado que provavelmente receberá atualizações significativas devido ao seu sucesso inicial e relativa facilidade de atualização dos componentes principais. Recomendamos que as empresas e os usuários examinem suas máquinas regularmente e instalem as atualizações de segurança mais recentes assim que forem publicadas. Remova o malware NRSMiner usando um instrumento confiável de segurança cibernética.

Nomes de detecção para o 'MarsTraceDiagnostics.xml':

BIN.S.Agent.5423111
Coinminer.Win64.MALXMR.AI
Trojan.UKP.Generic.4!c
Trojan.Win32.Zapchast.akgy
Win.Exploit.EQGRP-6322722-0
Worm.Win32.EternalBlueMiner.l (CLASSIC)

Nomes de detecção para o 'snmpstorsrv.dll':

Coinminer.Win32.MALXMR.TIAOODAT
Gen:Variant.Razy.359050
Malware/RL.Generic.R246046
Malware@#2j8lnbfuua5uz
Trojan ( 0052fc5c1 )
Trojan.Win32.Agentb.jinf
Trojan.Win32.S.Agent.286720.XY
Trojan:W32/Rycon.O
W32/Trojan.FABA-1520
Win32:Agent-ATYH [Trj]

Nomes de detecção para o 'TrustedHostex.exe':

Backdoor.Win32.Agent.mytjij
Heur:Backdoor/PcClient
Malware@#1we35a7jh1h89
TR/AD.Vools.B
Trojan ( 0052c7e01 )
Trojan.Generic.23202611
Trojan.Generic.D1620B33
Trojan/Multi.Miner
Win32.Trojan.Eternalminer.Xxye
a variant of Win64/Vools.I