Malware WatchDog Cryptojacking atinge centenas de sistemas Windows
Uma campanha massiva de criptojack atacando os usuários do Windows não foi detectada por mais de dois anos, ganhando dezenas de milhares de dólares no processo. Acredita-se que o malware de cryptojacking, conhecido como WatchDog, tenha centenas de vítimas e ainda está em andamento.
A equipe de pesquisa que descobriu a campanha de roubo de criptografia acredita que é o trabalho de uma equipe altamente qualificada que pode ter outras operações lucrativas em andamento.
Malware WatchDog Cryptojacking Alega Centenas de Vítimas
O malware de criptjacking WatchDog foi relatado no blog da Palo Alto Networks .
A equipe de pesquisa da Palo Alto Networks, conhecida como Unidade 42, acredita que o WatchDog comprometeu "pelo menos 476" sistemas compreendendo principalmente instâncias de nuvem do Windows e NIX e que a campanha está ativa e em execução desde 27 de janeiro de 2019.
Nesse período de dois anos, a campanha de criptomoeda extraiu ilicitamente "pelo menos 209 Monero (XMR)", com um valor atual de cerca de US $ 32.000.
O malware usa um conjunto binário de três partes criado com a linguagem de programação Go. Cada binário executa uma ação específica na máquina da vítima, como garantir que a operação de mineração não seja desligada ou iniciar o programa de mineração para começar. Além disso, a campanha usa vários endpoints e domínios para permanecer oculto enquanto aumenta as chances do malware de permanecer online se e quando descoberto.
É claro que os operadores de WatchDog são codificadores habilidosos e têm desfrutado de uma relativa falta de atenção em relação às suas operações de mineração. Embora atualmente não haja nenhuma indicação de atividade adicional de comprometimento da nuvem (ou seja, a captura de identidade da plataforma de nuvem e credenciais de gerenciamento de acesso (IAM), ID de acesso ou chaves), pode haver potencial para mais comprometimento da conta da nuvem.
A Palo Alto Networks, então, acredita que os atores da ameaça poderiam fazer a transição para outras atividades comprometedoras de contas na nuvem, se ainda não o fizeram.
Malware de mineração de criptografia é lucrativo para criminosos
O recente boom nos mercados de criptomoedas é o ambiente perfeito para o sucesso de campanhas de roubo de criptografia.
Quando o malware WatchDog foi lançado em janeiro de 2019, o preço do Monero estava caindo em torno de US $ 50 por moeda. O lucro da campanha de cryptojacking seria de apenas cerca de US $ 10.000 se o preço permanecesse naquele ponto. Recentemente, relatamos como o malware pode ser lucrativo para organizações criminosas, com descobertas semelhantes em relação a campanhas de roubo de criptografia.
O malware de criptojack muitas vezes usa o Monero com foco na privacidade, pois é realmente indetectável (ao contrário do Bitcoin, que é pseudo-anônimo). Embora o cryptojacking seja uma aposta do ponto de vista do preço, qualquer ganho é quase puro lucro, já que o malware usa o hardware da vítima para minerar o Monero.
Ainda assim, o cryptojacking está longe de ser a forma mais lucrativa de malware. O ransomware continua sendo um dos métodos mais eficazes de extorquir dinheiro das vítimas e não mostra nenhum sinal de desaceleração, apesar dos enormes esforços de aplicação da lei para interromper e destruir as redes criminosas.