Um novo malware encontrado usa um novo truque para evitar a detecção e minerar criptomoedas em servidores baseados em nuvem, conforme mostra o artigo publicado pela Coindesk.
Dois pesquisadores, Xingyu Jin e Claud Xiao, da empresa de segurança cibernética Palo Alto Networks, publicaram um relatório nesta quinta-feira, 17 de janeiro, dizendo que um software de maus atores, chamado de grupo Rocke, está minerando a infraestrutura de nuvem pública. Uma vez baixado, é necessário o controle administrativo para desinstalar primeiro os produtos de segurança na nuvem e, em seguida, injetar o código que minera a criptomoeda Monero.
Os pesquisadores descobriram que o malware Rocke injetou código para desinstalar cinco diferentes produtos de segurança de nuvem de servidores Linux infectados – incluindo ofertas dos principais provedores de nuvem chineses, Alibaba e Tencent.
Para fazer seu trabalho malicioso, o grupo Rocke explora vulnerabilidades nos aplicativos Apache Struts 2, Oracle WebLogic e Adobe ColdFusion e, em seguida, faz o download de um script chamado “a7” para desabilitar os programas de segurança.
Os pesquisadores adicionam:
“Até onde sabemos, esta é a primeira família de malware que desenvolveu a capacidade exclusiva de segmentar e remover produtos de segurança na nuvem.”
O malware do grupo Rocke foi descoberto pela gigante de TI Talos Intelligence Group, da Cisco, em agosto. Na época, David Liebenberg, pesquisador da Talos, disse que o Rocke “continuará a aproveitar os repositórios do Git para baixar e executar a mineração ilícita em máquinas de vítimas”.
A Monero continua sendo de longe a criptomoeda mais popular entre os hackers. Na semana passada, um estudo de pesquisadores universitários mostrou que hackers exploraram pelo menos 4,32% do total de Monero em circulação.
Leia também: Pesquisa aponta que malware de mineração capturou quase 5% de todo Monero em circulação