Um investigador de segurança descobriu um novo minerador de cryptocurrency denominado por ZombieBoy,  e que tira partido de várias vulnerabilidades conhecidas para evitar a sua deteção. 

O investigador James Quinn descobriu um recente minerador chamado ZombieBoy, que parece ser muito lucrativo e que aproveita várias vulnerabilidade para evitar a sua deteção.

O investigador batizou o malware de ZombieBoy porque ele usa uma ferramenta chamada ZombieBoyTools para dropar a primeira dll, e usa de seguida alguns exploits para se disseminar.

Ao contrário de outros mineradores, o ZombieBoy utiliza o WinEggDrop em vez do MassScan para procurar novos hosts para infetar.

ZombieBoy (1)

 

O PE File tem embebido carateres chinses, o que sugere que a sua origem deverá ser chinesa, ou pelo menos, o seu autor.

zombieboy

 

The ZombieBoy mine leverages several exploits, including:

 

O ZombieBoy também usa os exploits DoublePulsar e EternalBlue ligados à NSA para se instalar remotamente e à sua DLL principal. O malware usou o ZombieBoyTools para instalar os dois exploits.

Depois de estabelecer um backdoor no sistema alvo, ele pode dropar outras famílias de malware, como ransomware e keyloggers.

In addition, 64.exe uses XMRIG to mine for XMR.  Prior to shutting down one of its addresses on minexmr.com, ZombieBoy was mining at around 43KH/s. This would earn the attackers slightly over $1,000 per month at current Monero prices.” continues the analysis.

 

Quinn destacou que o miner está a ser atualizado constantemente, e estão a ser observadas novas amostras diariamente.

O malware é capaz de detectar VMs e não é executado em um ambiente VM o que dificulta a sua deteção. Também não foi detetado pelos AVs na analise efetuada por Quinn.