Malware ProxyShellMiner Explora Vulnerabilidades para Mineração de Criptomoedas

Em uma nova descoberta de malware chamada ProxyShellMiner, o malware explora as vulnerabilidades do ProxyShell para instalar mineradores de criptomoedas em todo o domínio Windows para lucrar para os atores da ameaça.

Para aqueles que não sabem, o ProxyShell é uma das Vulnerabilidades do Exchange encontradas e corrigidas pela Microsoft em 2021. Bem, as três vulnerabilidades estão combinadas; as vulnerabilidades permitem a execução remota de código não autorizado e permitem que os atores da ameaça tenham controle total do servidor Exchange e acessem outras partes do servidor da empresa.

Agora, os ataques foram detectados pela Morphisec e os atores da ameaça abusam da vulnerabilidade ProxyShell que foi rastreada como CVE-2021-34523 para obter o acesso inicial à rede da organização.

Depois disso, os atacantes implantam um payload de malware NET na pasta NETLOGON do controlador de domínio para garantir que todos os dispositivos na rede estejam executando o malware.

Leia: Nova Variante do Trojan Royal Descoberta, Alvo de Máquinas Virtuais VMware ESXi

Para que o malware se ative, ele requer um parâmetro de linha de comando que também funciona como uma senha para o componente minerador XMRig. O ProxyShell usa um diretório embutido, um algoritmo de descriptografia XOR e uma chave XOR que é baixada de um servidor remoto, mencionou a Morphisec.

Além disso, ele usa um programa C# CSC.exe com parâmetros de compilação “InMemory” para executar os próximos módulos de código embutidos. Na próxima fase, o malware baixa um arquivo chamado “DC_DLL” e executa reflexão NET para extrair o argumento para o agendador de tarefas, XML e a chave XMRig e então o arquivo DLL é usado para descriptografar os arquivos adicionais.

Leia: Atores de Ameaça Russos Alvo de Criptomoedas com Malware Enigma

Além disso, há um segundo downloader que estabelece conexão no computador comprometido criando uma tarefa agendada que é configurada no login do usuário. O segundo downloader é baixado de um local remoto juntamente com os outros quatro arquivos.

Após tudo isso, o arquivo decide quais navegadores do computador injetado serão usados para injetar o minerador na memória usando um método conhecido como “process hollowing” e então escolhe um pool aleatório da lista codificada, e o processo de mineração começa.

A última coisa nesta cadeia de ataque é criar uma regra de firewall que bloqueará todo o tráfego de saída, que então se aplica a todos os firewalls do Windows e a razão por trás disso é tornar os defensores menos propensos a detectar o malware ou receber qualquer notificação sobre a possível injeção do sistema comprometido.

Para escapar dos programas de segurança que monitoram o comportamento em tempo de execução do processo, o malware espera pelo menos 30 segundos após a oco de navegador antes de fazer a regra do firewall; é bastante possível que os mineradores se comuniquem com sua ferramenta de mineração através de uma porta dos fundos que não é monitorada pelo programa de segurança.

As empresas de segurança emitem um aviso de que o efeito do malware vai além de apenas interrupções de serviços e superaquecimento das máquinas. À medida que o ator da ameaça ganha controle na rede, os atacantes podem fazer qualquer coisa, desde a implantação de backdoor até a execução de um código.

Leia: W4SP Stealer Encontrado no Índice PyPi, Ameaçando Carteiras de Criptomoedas e Senhas de Navegador