A Cisco Systems, equipe de inteligência de ameaças, descobriu recentemente um novo botnet de cryptojacking chamada “Prometei”. Esse botnet extrai o Monero (XMR) e rouba dados do sistema de destino.
De acordo com o comunicado, o botnet está ativa desde maio. Ele conta com 15 módulos executáveis para recuperar senhas de administrador do computador infectado.
Após isso, a validade da senha é verificada enviando-as para um servidor de controle conectado a outras redes. Depois que o malware obtém acesso aos direitos administrativos do usuário, ele registra todos os dados contidos no sistema.
Segundo estimativas do Cisco Talos, esse botnet pode conter até 10.000 sistemas a qualquer momento. No momento, o botnet ainda está sendo executado com uma frequência de geração de hash superior a 1M Hash/s (milhões de hashes por segundo).
Nível de ameaça
A pesquisadora da Cisco Talos, Vanja Svajcer, afirmou que a Prometei arrecada em torno de 1500 dólares por mês.
Além disso, a pesquisadora Svajcer esclareceu que, ainda que não pareça muito em comparação com outros números citados, ele ganha confortavelmente bem acima de um salário médio em alguns países.
Svajcer explicou em entrevista:
“Roubar credenciais é a parte mais perigosa do botnet Prometei. Você pode considerar o atacante com o bot sendo um ladrão em sua casa. Naturalmente, o ladrão procura em todas as gavetas e encontra várias chaves. Eles levam as chaves com eles e pedem a outra pessoa (outro sistema infectado) para verificar se alguma das chaves funciona no seu carro, cofre etc. Obviamente, quando criminosos invadem uma casa, isso abre um novo conjunto de oportunidades. É muito parecido com este botnet.”
De acordo com o estudo, a Prometei obtém um lucro moderado para um único desenvolvedor “provavelmente baseado na Europa Oriental”.
