De acordo com um estudo publicado, um botnet de malware conhecido como FritzFrog foi implantado em dez milhões de endereços IP. O malware visou principalmente escritórios governamentais, instituições educacionais, centros médicos, bancos e empresas de telecomunicações, instalando um aplicativo de mineração Monero (XMR) conhecido como XMRig.
Guardicore Labs explicou que FritzFrog usa um ataque de força bruta em milhões de endereços para obter acesso aos servidores. É onde um invasor envia muitas senhas ou frases secretas com a esperança de eventualmente adivinhar corretamente.
Depois de entrar, ele executa um processo independente denominado “libexec” para executar o XMRig.
“Ele violou com sucesso mais de 500 servidores SSH, incluindo aqueles de instituições de ensino superior conhecidas nos EUA e na Europa, e uma empresa ferroviária.”
Contudo, a empresa de segurança cibernética disse que o FritzFrog parece ser um malware único e que foi uma “tarefa complicada” rastreá-lo, pois as conexões estavam ocultas em uma rede ponto a ponto (P2P).
Ophir Harpaz, pesquisador da Guardicore Labs, comentou:
“Ao contrário de outros botnets P2P, o FritzFrog combina um conjunto de propriedades que o tornam único: ele não tem arquivo, pois monta e executa cargas úteis na memória. É mais agressivo em suas tentativas de força bruta, mas permanece eficiente ao distribuir alvos uniformemente na rede.”
Harpaz recomenda escolher senhas fortes e usar autenticação de chave pública, “que é muito mais segura”. Assim, evitando ser atacado com sucesso por um malware de criptojacking como o FritzFrog.
Recentemente, pesquisadores de segurança cibernética da Cado Security detectaram o que eles acreditam ser a primeira campanha de mineração de criptomoedas furtiva para roubar credenciais de Amazon Web Services (AWS), chamada TeamTNT, que também implementa o aplicativo de mineração XMR.
