Malware de criação de criptomoeda explorava vulnerabilidade do Windows Server 2003

A ESET identificou uma nova ameaça em que os atacantes se aproveitam de uma vulnerabilidade em servidores web com sistema operativo Windows Server 2003 para minerarem uma moeda digital semelhante ao Bitcoin, a Monero

Após a identificação desta vulnerabilidade, a Microsoft já lançou uma atualização para corrigir este problema. No entanto, muitos servidores continuam desatualizados.

Para conseguirem minerar as moedas digitais, também conhecidas por criptomoedas, os hackers modificaram o software aberto e legítimo de mineração de Monero e exploraram uma vulnerabilidade conhecida do Microsoft IIS 6.0 para instalar secretamente o minerador em servidores desatualizados. Ao criarem o software malicioso de mineração, os criminosos praticamente não modificaram o código aberto original, adicionando apenas poucas linhas de código. Na realidade e segundo os especialistas da ESET, esta versão modificada pode ter sido criada em apenas alguns minutos.

A equipa de investigação da ESET estima que esta operação esteja a decorrer desde maio de 2017. Durante este período, os criminosos responsáveis por esta campanha criaram uma botnet de centenas de máquinas infetadas e obtiveram mais de 63000 dólares (cerca de 53470 euros) em Monero.

“Embora esteja muito atrás da Bitcoin em termos de capitalização de mercado, existem várias razões para os atacantes terem escolhido minerar Monero,” afirma Peter Kálnai, investigador de malware da ESET. “Funcionalidades como transações que não é possível seguir e um algoritmo chamado CryptoNight, que favorece unidades de processamento central de computadores ou servidores, tornam esta criptomoeda numa alternativa viável para os criminosos. É que no caso da mineração de Bitcoin, é necessário hardware especializado”.

Este tipo de atividade maliciosa representa um exemplo claro de que apenas é necessário um mínimo de conhecimento e baixos custos operacionais para se conseguirem resultados significativos.

Em julho de 2015, a Microsoft acabou com o suporte para Windows Server 2003, e não lançou um patch para esta vulnerabilidade até junho de 2017, quando várias vulnerabilidades para estes sistemas antigos foram descobertas por autores de malware. Embora o ciclo de vida do Windows Server 2003 tenha chegado ao fim, a Microsoft corrigiu as vulnerabilidades para evitar a ocorrência de outros ataques como o WannaCry.