Compartilhe este artigo
Divisão de segurança cibernética da AT&T analisa ameaça de minerador de Cripto a servidores de e-mail
Uma nova análise técnica do AT&T Alien Labs oferece uma visão interna de como uma forma perniciosa de malware de mineração Monero se infiltra em redes de e-mail.
Por Danny Nelson
O Alien Labs da AT&T está se aprofundando na análise de malware de criptomineração com uma nova análise tecnológica de como um minerador Monero se infiltra em redes.
A História Continua abaixo
Lançado quinta-feira, orelatório pelo pesquisador de segurança Fernando Domínguez fornece um passo a passo de como um cryptojacker de perfil bastante baixo infecta e se espalha por servidores Exim, Confluence e WebLogic vulneráveis, instalando código malicioso que minera Monero por meio de um proxy. Os servidores Exim representam mais da metade de todos os servidores de e-mail, de acordo com ZDNet.
O worm primeiro injeta nos servidores alvo um script BASH que verifica e mata processos de mineração concorrentes antes de tentar se infiltrar em outras máquinas conhecidas na rede. Criptomineradoresmuitas vezes matam mineradores concorrentes quando infectam um sistema, e por uma razão muito simples: quanto mais CPU um processo diferente consome, menos sobra para outros, de acordo com o relatório.
Os servidores violados então baixam a carga útil do script: uma “omelete” (como a variável do arquivo executável baixado é chamada) baseada no minerador Monero de código aberto chamado XMRig.
Disponível no GitHub, o XMRig é um favorito dos hackers de malware e um bloco de construção comum no arsenal dos cryptojackers. Ele foi adaptado paraMineradores de MacBook,espalhados por500.000 computadores e, em 2017, tornou-se tão popular que há relatórios de mineração maliciosaatingiu mais de 400por cento.
Este minerador modificado faz seus negócios via proxy, de acordo com a AT&T Alien Labs. Isso torna o rastreamento dos fundos, ou mesmo a identificação do endereço da carteira, quase impossível sem acesso ao servidor proxy.
Fritar essa omelete é difícil. Quando ele baixa, outro arquivo chamado “sesame” – idêntico ao script BASH original – também baixa. Essa é a chave para a persistência do worm: ele se conecta a uma tarefa cron com um intervalo de cinco minutos, permitindo que ele resista a tentativas de eliminação e desligamentos do sistema. Ele pode até mesmo atualizar automaticamente com novas versões.
A AT&T Alien Labs começou a rastrear o worm em junho de 2019. Ele já havia sido estudado pela empresa de análise de segurança em nuvem Lacework em julho.
Os pesquisadores T sabem bem o quão disseminado esse minerador Monero sem nome é. O relatório da Alien Labs admite que “é difícil estimar quanta renda essa campanha relatou ao ator da ameaça”, mas observa que a campanha “não é muito grande”.
No entanto, serve como um lembrete para todos os operadores de servidores: KEEP sempre seu software corrigido e atualizado.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Novo bug do React que pode esgotar todos os seus tokens está afetando 'milhares de' sites
Os atacantes estão utilizando a vulnerabilidade para implantar malwares e softwares de mineração de criptomoedas, comprometendo os recursos dos servidores e potencialmente interceptando as interações com carteiras em plataformas de cripto.
What to know:
- Uma vulnerabilidade crítica no React Server Components, conhecida como React2Shell, está sendo explorada ativamente, colocando milhares de sites em risco, incluindo plataformas de criptomoedas.
- A vulnerabilidade, CVE-2025-55182, permite execução remota de código sem autenticação e afeta as versões do React de 19.0 até 19.2.0.
- Os atacantes estão explorando a vulnerabilidade para implantar malware e softwares de mineração de criptomoedas, comprometendo os recursos dos servidores e potencialmente interceptando as interações de carteiras em plataformas de criptomoedas.
Principais Histórias
