UnityMiner Malware
O Malware UnityMiner é usado para sequestrar os recursos dos dispositivos de armazenamento QNAP e, em seguida, minerar moedas Monero. O Malware UnityMiner é um cripto-minerador baseado na ameaça de código aberto XMRig , que é popular entre os cibercriminosos. O UnityMiner está equipado com vários recursos projetados para mascarar a atividade da ameaça de malware pelo maior tempo possível. Em vez de monopolizar todos os núcleos disponíveis, o UnityMiner assumirá apenas metade deles. Ele também irá adulterar os dados de uso de recursos de memória da CPU relatados para ocultar o comportamento anormal do sistema se o usuário verificar o uso do sistema por meio da interface de gerenciamento da Web da QNAP. O endereço da carteira criptografada para onde as moedas Monero minadas estão sendo enviadas está escondido atrás de três proxies de pool.
A estrutura do Malware UnityMiner no dispositivo comprometido consiste em unit_install.sh e Quick.tar.gz. Até agora, duas versões da ameaça foram descobertas - uma para ARM64 e outra projetada para funcionar em sistemas AMD64. A versão apropriada é implantada após a realização de uma verificação da arquitetura da CPU do sistema.
Enquanto a maioria das ameaças de mineração de criptografia dependem de ataques de força bruta e credenciais coletadas para infectar seus alvos, a campanha de implantação do UnityMiner explora duas vulnerabilidades nos dispositivos de armazenamento conectado à rede (NAS) da QNAP. As vulnerabilidades específicas são identificadas e, de acordo com a QNAP, podem ser usadas para obter recursos de execução remota de código por meio de uma combinação de controles de acesso impróprios e uma vulnerabilidade de injeção de linha de comando.
As vulnerabilidades críticas usadas na campanha de ataque de malware UnityMiner foram divulgadas em uma vulnerabilidade de segurança lançada em 7 de outubro de 2020 e podem afetar apenas dispositivos que usam versões de firmware mais antigas. Ainda assim, as estimativas mostram que potencialmente centenas de milhares de dispositivos QNAP NAS permanecem sem correção e podem ser violados. A QNAP lançou um novo artigo de notícias de segurança de produto no qual exorta os usuários a atualizar seus dispositivos.
