Uma nova gangue de malware vem invadindo o Microsoft SQL Servers (MSSQL) e instalando um cripto-minerador. Segundo o ZDNet, milhares de bancos de dados MSSQL foram infectados até agora. A descoberta foi do braço de segurança cibernética da empresa chinesa de tecnologia Tencent, que em um relatório publicado no início deste mês chamou essa nova gangue de malware de MrbMiner em referência a um dos domínios usados pelo grupo para hospedar seu malware.
A empresa chinesa diz que a botnet se espalhou exclusivamente por meio da varredura de servidores MSSQL na Internet e, em seguida, realizou ataques de força bruta, tentando repetidamente acessar a conta de administrador com várias senhas fracas. Assim que os invasores entram em um sistema, eles baixam um arquivo assm.exe inicial, que é utilizado para estabelecer um mecanismo de persistência de (re)inicialização e adicionar uma conta backdoor para acesso futuro.
A última etapa do processo de infecção é conectar-se ao servidor de comando e controle e baixar um aplicativo que extrai a criptomoeda Monero (XMR), abusando dos recursos do servidor local e gerando moedas XMR em contas controladas pelos atacantes. A Tencent Security afirma que, embora tenha visto apenas infecções em servidores MSSQL, o servidor MrbMiner C&C também continha versões do malware do grupo desenvolvidas para atingir servidores Linux e sistemas baseados em ARM.
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.