Malware WatchDog Cryptojacking atinge centenas de sistemas Windows

Uma campanha massiva de criptojack atacando usuários do Windows não foi detectada por mais de dois anos, ganhando dezenas de milhares de dólares no processo. Acredita-se que o malware cryptojacking, conhecido como WatchDog, tenha centenas de vítimas e ainda está em andamento.

A equipe de pesquisa que descobriu a campanha de roubo de criptografia acredita que é o trabalho de uma equipe altamente qualificada que pode ter outras operações lucrativas em andamento.

Malware WatchDog Cryptojacking Alega Centenas de Vítimas

O malware de cryptojacking WatchDog foi relatado no Blog da Palo Alto Networks.

A equipe de pesquisa da Palo Alto Networks, conhecida como Unidade 42, acredita que o WatchDog comprometeu "pelo menos 476" sistemas compreendendo principalmente instâncias de nuvem do Windows e NIX e que a campanha está ativa e em execução desde 27 de janeiro, 2019.

Nesse período de dois anos, a campanha de criptomoeda extraiu ilicitamente "pelo menos 209 Monero (XMR)", com um valor atual de cerca de US $ 32.000.

O malware usa um conjunto binário de três partes criado com a linguagem de programação Go. Cada binário executa uma ação específica na máquina da vítima, como garantir que a operação de mineração não seja desligada ou iniciar o programa de mineração para começar. Além disso, a campanha usa vários endpoints e domínios para permanecer oculto enquanto aumenta as chances do malware de permanecer online se e quando descoberto.

É claro que os operadores de WatchDog são codificadores habilidosos e têm desfrutado de uma relativa falta de atenção em relação às suas operações de mineração. Embora atualmente não haja nenhuma indicação de atividade adicional de comprometimento da nuvem no momento (ou seja, a captura da plataforma de nuvem credenciais de gerenciamento de identidade e acesso (IAM), ID de acesso ou chaves), pode haver potencial para mais contas na nuvem compromisso.

A Palo Alto Networks, então, acredita que os atores da ameaça poderiam fazer a transição para outras atividades comprometedoras de contas na nuvem, se ainda não o fizeram.

Malware de mineração de criptografia é lucrativo para criminosos

O recente boom nos mercados de criptomoedas é o ambiente perfeito para o sucesso das campanhas de roubo de criptografia.

Quando o malware WatchDog foi lançado em janeiro de 2019, o preço do Monero estava caindo em torno de US $ 50 por moeda. O lucro da campanha de criptojacking seria de apenas cerca de US $ 10.000 se o preço permanecesse naquele ponto. Recentemente relatamos sobre quão lucrativo o malware pode ser para organizações criminosas, com descobertas semelhantes em relação a campanhas de criptojack.

Quão lucrativo é o malware para organizações criminosas?

O malware está em toda parte, portanto, deve gerar muito dinheiro. Direita?

O malware de criptojack muitas vezes usa o Monero com foco na privacidade, pois é realmente indetectável (ao contrário do Bitcoin, que é pseudo-anônimo). Embora o cryptojacking seja uma aposta do ponto de vista do preço, qualquer ganho é quase puro lucro, já que o malware usa o hardware da vítima para minerar o Monero.

Relacionado: Emotet Botnet tirado offline após esforço global de policiamento

Ainda assim, o cryptojacking está longe de ser a forma mais lucrativa de malware. O ransomware continua sendo um dos métodos mais eficazes de extorquir dinheiro das vítimas e não mostra qualquer sinal de desaceleração, apesar dos enormes esforços de aplicação da lei para interromper e destruir o criminoso redes.

O que é um botnet e seu computador parte de um?

Os botnets são a principal fonte de malware, ransomware, spam e muito mais. Mas o que é um botnet? Como eles passam a existir? Quem os controla? E como podemos detê-los?

Sobre o autor