Minas é um malware criptominerador de vários estágios
Minas, um software malicioso projetado para mineração de criptomoeda, é uma ameaça insidiosa que explora o aplicativo XMRIG, originalmente destinado à mineração legítima de Monero. Esse tipo específico de malware exerce uma pressão tremenda nas máquinas infectadas, comprometendo assim a integridade geral do sistema e de seu hardware.
Minas emprega várias técnicas sofisticadas para evitar a detecção e garantir sua longevidade. Seu objetivo principal é se envolver na mineração de criptomoedas, um processo que envolve a utilização do poder do computador para resolver problemas matemáticos complexos para gerar moeda digital.
O ato de mineração exige hardware robusto, o que leva os cibercriminosos a explorar frequentemente os dispositivos de vítimas inocentes ou aproveitar botnets inteiros para esse fim, em vez de investir em seu próprio equipamento.
A Cadeia de Infecção de Minas, Passo a Passo
O resumo da cadeia de infecção é o seguinte:
- Através do Agendador de Tarefas, um script do PowerShell é executado, buscando o arquivo lgntoerr.gif de um servidor remoto.
- Após a descriptografia, o lgntoerr.gif se transforma em uma DLL .NET, que é então carregada.
- A DLL .NET extrai e descriptografa três arquivos: duas DLLs e uma carga criptografada, colocando-os no diretório ProgramData.
- Uma tarefa é criada pela DLL .NET para executar automaticamente o componente legítimo ilasm.exe durante a inicialização do sistema usando o Agendador de Tarefas.
- O Agendador de Tarefas inicia o ilasm.exe a partir do diretório ProgramData.
- O ilasm.exe inicia o fusion.dll, um seqüestrador de DLL malicioso, que também reside no mesmo diretório.
- fusion.dll carrega a segunda DLL descriptografada.
- A segunda DLL gera um processo dllhost.exe suspenso.
- A carga dentro do arquivo binário criptografado é descriptografada pela segunda DLL.
- A carga útil descriptografada é injetada no processo dllhost.exe como uma DLL.
- O ID do processo (PID) do processo dllhost.exe é salvo em um arquivo no diretório ProgramData.
- O controle é passado para a carga descriptografada no processo dllhost.exe.
- A DLL de carga útil extrai e executa a DLL do minerador na memória do computador.
- Em essência, essas etapas descrevem a progressão da cadeia de infecção, cada estágio contribuindo para a execução do componente do minerador malicioso.
Por que os criptomineradores são uma ameaça ao sistema como um todo?
Ao explorar os recursos do sistema, como CPUs e GPUs, os criptomineradores consomem uma quantidade significativa de poder computacional para gerar moedas digitais. Esse uso excessivo e não autorizado pode monopolizar até 100% dos recursos do dispositivo, resultando em frequentes travamentos do sistema, travamentos e outros problemas graves que tornam o dispositivo afetado praticamente inutilizável.
Além disso, a tensão excessiva no sistema provavelmente causará superaquecimento. Quando combinado com outros fatores como má ventilação, alta temperatura ambiente e condições semelhantes, esse calor excessivo pode causar danos irreversíveis ao hardware, basicamente "fritando" os componentes.
Para resumir, a presença de Minas ou software malicioso semelhante em dispositivos pode ter consequências terríveis. Isso inclui diminuição do desempenho do sistema, falhas do sistema, perda permanente de dados, deterioração do hardware e perdas financeiras substanciais.