O investigador James Quinn descobriu um recente minerador chamado ZombieBoy, que parece ser muito lucrativo e que aproveita várias vulnerabilidade para evitar a sua deteção.
O investigador batizou o malware de ZombieBoy porque ele usa uma ferramenta chamada ZombieBoyTools para dropar a primeira dll, e usa de seguida alguns exploits para se disseminar.
Ao contrário de outros mineradores, o ZombieBoy utiliza o WinEggDrop em vez do MassScan para procurar novos hosts para infetar.
O PE File tem embebido carateres chinses, o que sugere que a sua origem deverá ser chinesa, ou pelo menos, o seu autor.
The ZombieBoy mine leverages several exploits, including:
- CVE-2017-9073, RDP vulnerability on Windows XP and Windows Server 2003
- CVE-2017-0143, SMB exploit
- CVE-2017-0146, SMB exploit
O ZombieBoy também usa os exploits DoublePulsar e EternalBlue ligados à NSA para se instalar remotamente e à sua DLL principal. O malware usou o ZombieBoyTools para instalar os dois exploits.
Depois de estabelecer um backdoor no sistema alvo, ele pode dropar outras famílias de malware, como ransomware e keyloggers.
In addition, 64.exe uses XMRIG to mine for XMR. Prior to shutting down one of its addresses on minexmr.com, ZombieBoy was mining at around 43KH/s. This would earn the attackers slightly over $1,000 per month at current Monero prices.” continues the analysis.
Quinn destacou que o miner está a ser atualizado constantemente, e estão a ser observadas novas amostras diariamente.
O malware é capaz de detectar VMs e não é executado em um ambiente VM o que dificulta a sua deteção. Também não foi detetado pelos AVs na analise efetuada por Quinn.