O PowerGhost é um novo minerador de criptomoedas descoberto recentemente pela Kaspersky. De acordo com os especialistas da empresa, o malware tem como foco as redes corporativas e, por sua natureza "sem arquivo", invade estações de trabalho e servidores das vítimas sem ser notado — o foco corporativo não impede que usuários domésticos acabem com dispositivos infectados.
- Até o momento, a maioria dos ataques foram registrados no Brasil, na Índia, na Turquia e na Colômbia.
"Depois de invadir a infraestrutura de uma empresa, o PowerGhost tenta acessar contas de usuário de rede por meio da Instrumentação de Gerenciamento do Windows (WMI), ferramenta legítima de administração remota", explica a Kaspersky. "O malware obtém logins e senhas com o uso de uma ferramenta de extração de dados chamada Mimikatz. O minerador também pode ser distribuído por meio do Eternal Blue, exploit para Windows usado pelos criadores do WannaCry e do ExPetr. Teoricamente, essa vulnerabilidade foi corrigida por 1 ano, mas na prática continua em operação".
Assim que o PowerGhost invade um computador, o malware tenta ampliar seus privilégios por meio de diversas vulnerabilidades do sistema operacional. Depois disso, o minerador consegue um ponto de apoio no sistema e começa a faturar criptomoedas para seus desenvolvedores.
As equipes de Ti devem realizar as atualizações de softwares e de sistemas operacionais assim que possível — e essa dica serve também para você, usuário doméstico
O malware é perigoso porque usa os recursos computacionais do seu PC ou notebook para mineração. Isso significa que você terá um desempenho reduzido para seus trabalhos, um desgaste superior na vida útil e um custo extra de energia.
"No entanto, comparado com a maioria desses programas, o PowerGhost é mais difícil de detectar porque não baixa arquivos maliciosos para o dispositivo. E isso significa que pode operar por mais tempo disfarçado em seu servidor ou sua estação de trabalho e, assim, causar mais danos", afirma a Kaspersky. "Além disso, em uma versão do malware, nossos especialistas descobriram uma ferramenta para ataques DDoS. O uso dos servidores de uma empresa para bombardear outra vítima pode desacelerar ou até mesmo paralisar atividades operacionais. Uma característica interessante é a habilidade do malware de verificar se está sendo executado em um sistema operacional verdadeiro ou em uma sandbox, o que permite desviar de soluções de segurança comuns."
Para evitar a infecção do PowerGhost, as equipes de Ti devem realizar as atualizações de softwares e de sistemas operacionais assim que possível — e essa dica serve também para você, usuário doméstico. Todas as vulnerabilidades exploradas pelo minerador já foram corrigidas pelos fornecedores. Criadores de vírus tendem a basear suas criações em exploits para vulnerabilidades corrigidas há muito tempo.
Fontes
Categorias
