Minas é um malware criptominerador de vários estágios

Minas, um software malicioso projetado para mineração de criptomoeda, é uma ameaça insidiosa que explora o aplicativo XMRIG, originalmente destinado à mineração legítima de Monero. Esse tipo específico de malware exerce uma pressão tremenda nas máquinas infectadas, comprometendo assim a integridade geral do sistema e de seu hardware.

Minas emprega várias técnicas sofisticadas para evitar a detecção e garantir sua longevidade. Seu objetivo principal é se envolver na mineração de criptomoedas, um processo que envolve a utilização do poder do computador para resolver problemas matemáticos complexos para gerar moeda digital.

O ato de mineração exige hardware robusto, o que leva os cibercriminosos a explorar frequentemente os dispositivos de vítimas inocentes ou aproveitar botnets inteiros para esse fim, em vez de investir em seu próprio equipamento.

A Cadeia de Infecção de Minas, Passo a Passo

O resumo da cadeia de infecção é o seguinte:

• Através do Agendador de Tarefas, um script do PowerShell é executado, buscando o arquivo lgntoerr.gif de um servidor remoto.
• Após a descriptografia, o lgntoerr.gif se transforma em uma DLL .NET, que é então carregada.
• A DLL .NET extrai e descriptografa três arquivos: duas DLLs e uma carga criptografada, colocando-os no diretório ProgramData.
• Uma tarefa é criada pela DLL .NET para executar automaticamente o componente legítimo ilasm.exe durante a inicialização do sistema usando o Agendador de Tarefas.
• O Agendador de Tarefas inicia o ilasm.exe a partir do diretório ProgramData.
• O ilasm.exe inicia o fusion.dll, um seqüestrador de DLL malicioso, que também reside no mesmo diretório.
• fusion.dll carrega a segunda DLL descriptografada.
• A segunda DLL gera um processo dllhost.exe suspenso.
• A carga dentro do arquivo binário criptografado é descriptografada pela segunda DLL.
• A carga útil descriptografada é injetada no processo dllhost.exe como uma DLL.
• O ID do processo (PID) do processo dllhost.exe é salvo em um arquivo no diretório ProgramData.
• O controle é passado para a carga descriptografada no processo dllhost.exe.
• A DLL de carga útil extrai e executa a DLL do minerador na memória do computador.
• Em essência, essas etapas descrevem a progressão da cadeia de infecção, cada estágio contribuindo para a execução do componente do minerador malicioso.

Por que os criptomineradores são uma ameaça ao sistema como um todo?

Ao explorar os recursos do sistema, como CPUs e GPUs, os criptomineradores consomem uma quantidade significativa de poder computacional para gerar moedas digitais. Esse uso excessivo e não autorizado pode monopolizar até 100% dos recursos do dispositivo, resultando em frequentes travamentos do sistema, travamentos e outros problemas graves que tornam o dispositivo afetado praticamente inutilizável.

Além disso, a tensão excessiva no sistema provavelmente causará superaquecimento. Quando combinado com outros fatores como má ventilação, alta temperatura ambiente e condições semelhantes, esse calor excessivo pode causar danos irreversíveis ao hardware, basicamente "fritando" os componentes.

Para resumir, a presença de Minas ou software malicioso semelhante em dispositivos pode ter consequências terríveis. Isso inclui diminuição do desempenho do sistema, falhas do sistema, perda permanente de dados, deterioração do hardware e perdas financeiras substanciais.