Especialistas em Palo Alto Networks descobriram uma nova técnica para a mineração cripto malicioso grupo Rocke.
Tele Malware não só remove todos os outros mineiros concorrentes no sistema, mas também usa o GitHub e pastebin serviços como parte da infra-estrutura de centro de comando C2.“Os cibercriminosos escrever componentes maliciosos em Python, enquanto Pastebin e GitHub são usados como repositórios de código”, - Palo Alto Networks explica.
Especialistas acreditam que o malware tem raízes chinesas e foi criado por um grupo de cibercrime da China, conhecido como Rocke. As infra-estruturas ataques mineiro nuvem, através do qual se extrai, em seguida, a moeda digital. Uma empresa que tenha sido vítima de um ataque tão geralmente percebe que suas contas de energia elétrica tem crescido substancialmente.
“Durante seus ataques, cibercriminosos exploram vulnerabilidades descobertas em 2016 e 2017. Os atacantes tentaram evitar a detecção, assim que penetrou o sistema da vítima, mas não profundamente”, - escreveu pesquisadores da Palo Alto Networks.
Os criminosos obter acesso administrativo a sistemas em nuvem, graças a um programa malicioso que pode esconder a sua presença a partir de métodos tradicionais de detecção.
“Ao analisar os dados NetFlow a partir de dezembro 2018 a junho 16, 2019, nós achamos isso 28.1% dos ambientes de nuvem que pesquisadas tinham pelo menos uma conexão de rede totalmente estabelecida com pelo menos um comando-e-controle Rocke conhecido (C2) domínio. Várias dessas organizações mantidos perto de ligações diárias. Enquanto isso, 20% das organizações mantido batimentos cardíacos por hora consistentes com táticas Rocke, técnicas, e procedimentos (TTPs)”, - especialistas Palo Alto Networks relatório.
sistemas comprometidos são então associados a endereços e domínios IP do Rocke, que são codificados no malwares.
Leia também: A nova versão do TrickBot Trojan bancário “arranca” Windows Defender
O vector de ataque inicial, como na maioria de tais casos, é a pesca. Uma vez que esta fase é bem sucedida, o malware será transferido para o sistema da empresa atacada a partir dos centros de comando, incluindo GitHub e Pastebin.
