Sustes

A atividade do malware Sustes foi descoberta recentemente por pesquisadores de segurança cibernética. Após analisar essa ameaça, os especialistas concluíram que este é um minerador usado para minerar a criptomoeda Monero. A popularidade das criptomoedas na última década cresceu. Certamente, nisso, os cibercriminosos viram uma oportunidade de lucrar com as costas de usuários inconscientes. Isso foi conseguido de várias maneiras - coletando carteiras de criptomoedas do usuário, seqüestrando suas pranchetas e colando seus próprios endereços de carteira e, é claro, plantando mineradores de criptomoeda como o malware Sustes nos sistemas dos usuários.

Tem como Alvo os Dispositivos IoT e Servidores Linux

A ameaça Sustes parece utilizar um scanner de rede para dispositivos IoT (Internet das Coisas) e servidores Linux. Em vez de se propagar como um worm, o malware Sustes provavelmente está usando um ataque de força bruta, que procura contas com segurança fraca que serão um alvo fácil de comprometer. O malware Sustes também tentaria utilizar explorações conhecidas publicamente contra os alvos pretendidos, se o primeiro falhar. Se um deles for bem-sucedido, uma solicitação de widget será emitida para um domínio no controle dos invasores e a ameaça tentará puxar um arquivo de script de shell para o dispositivo da vítima, que será executado. No caso de uma tentativa bem-sucedida de força bruta ou utilização de uma exploração conhecida, o malware Sustes fará o download de um arquivo de script mr.sh. A ameaça Sustes irá verificar o dispositivo infiltrado em busca de PIDs (IDs de processo de programas ativos) indesejados, que serão eliminados. Também garante a procura de instâncias ativas do Sustes para garantir a não interrupção de um dispositivo já comprometido em sua rede. O mesmo script atribui várias variáveis de shell, tais como f2, ao site dropper (192[.]99[.]142[.]226:8220) e depois atribui a f2 os caminhos específicos da instância /xm64 (executável do minerador) e wt.conf (arquivo de configuração) que são necessários para descartar outras partes posteriormente.

Implanta um Conjunto Personalizado de Proxies do Pool do Monero

Em seguida, o script executa o software descartado com um arquivo de configuração emitindo vários comandos do shell. Um crontab periódico é então executado, que visa soltar e executar a si próprio.

Uma análise mais aprofundada sobre o pool Monero ativo usado pela ameaça Sustes mostra que o invasor implantou um conjunto personalizado e privado de proxies de pool Monero, o que facilita o monitoramento e o bloqueio dos seguintes endereços:

158 [.] 69 [.] 133 [.] 20 na porta 3333
192 [.] 99 [.] 142 [.] 249 na porta 3333
202 [.] 144 [.] 193 [.] 110 na porta 3333

A ameaça Sustes filtra uma ampla variedade de endereços IP específicos, o que evita. É provável que sejam endereços IP vinculados a empresas de segurança cibernética, pois os invasores não desejam que sua ameaça seja dissecada por especialistas, ou podem ser endereços IP conectados a grandes corporações como a Amazon, que estão bem protegidas e perdendo tempo tentando explorar eles é inútil. Essa ameaça garantirá o uso de um pouco de CPU para atingir seus próprios fins e poderá reduzir a vida útil do seu dispositivo. Se o minerador Sustes estiver presente no seu sistema, é recomendável removê-lo imediatamente com a ajuda de uma ferramenta anti-malware respeitável.