O investigador James Quinn descobriu um recente minerador chamado ZombieBoy, que parece ser muito lucrativo e que aproveita várias vulnerabilidade para evitar a sua deteção.
O investigador batizou o malware de ZombieBoy porque ele usa uma ferramenta chamada ZombieBoyTools para dropar a primeira dll, e usa de seguida alguns exploits para se disseminar.
Ao contrário de outros mineradores, o ZombieBoy utiliza o WinEggDrop em vez do MassScan para procurar novos hosts para infetar.
O PE File tem embebido carateres chinses, o que sugere que a sua origem deverá ser chinesa, ou pelo menos, o seu autor.
The ZombieBoy mine leverages several exploits, including:
- CVE-2017-9073, RDP vulnerability on Windows XP and Windows Server 2003
- CVE-2017-0143, SMB exploit
- CVE-2017-0146, SMB exploit
O ZombieBoy também usa os exploits DoublePulsar e EternalBlue ligados à NSA para se instalar remotamente e à sua DLL principal. O malware usou o ZombieBoyTools para instalar os dois exploits.
Depois de estabelecer um backdoor no sistema alvo, ele pode dropar outras famílias de malware, como ransomware e keyloggers.
In addition, 64.exe uses XMRIG to mine for XMR. Prior to shutting down one of its addresses on minexmr.com, ZombieBoy was mining at around 43KH/s. This would earn the attackers slightly over $1,000 per month at current Monero prices.” continues the analysis.
Quinn destacou que o miner está a ser atualizado constantemente, e estão a ser observadas novas amostras diariamente.
O malware é capaz de detectar VMs e não é executado em um ambiente VM o que dificulta a sua deteção. Também não foi detetado pelos AVs na analise efetuada por Quinn.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.