Mais de 800k servidores em risco devido a novo malware de cryptojacking que explora o PostgreSQL

Os investigadores da Aqua Nautilus descobriram um novo malware que visa servidores PostgreSQL para implantar mineradores de criptomoedas.

A empresa de segurança cibernética identificou mais de 800.000 servidores que estão potencialmente vulneráveis a uma campanha de cryptojacking visando o PostgreSQL, um sistema de gerenciamento de banco de dados relacional de código aberto usado para armazenar, gerenciar e recuperar dados para várias aplicações.

De acordo com um relatório de pesquisa compartilhado com crypto.news, o chamado malware “PG_MEM” começa tentando ganhar acesso a bancos de dados PostgreSQL com um ataque de força bruta e consegue infiltrar-se em bancos de dados com senhas fracas.

Uma vez que o malware infiltra-se, estabelece um papel de superutilizador com privilégios administrativos, permitindo-lhe assumir o controlo total da base de dados e bloquear o acesso para outros utilizadores. Com este controlo, o malware executa comandos de shell no host, facilitando o download e a implementação de cargas maliciosas adicionais.

De acordo com o relatório, os payloads contêm dois ficheiros projetados para permitir que o malware evite detecção, configuração para mineração de criptomoeda e implementação da ferramenta de mineração XMRIG usada para minerar Monero (XMR)

XMRIG é frequentemente usado por atores ameaçadores devido às transações difíceis de rastrear do Monero. No ano passado, uma plataforma educacional foi comprometida em uma campanha de cryptojacking onde os atacantes implantaram um oculto que instalou o XMRIG em todos os visitantes .

O malware sequestra servidores PostgreSQL para implantar mineradores de criptomoeda

Os analistas descobriram que o malware remove trabalhos cron existentes, que são tarefas agendadas que são executadas automaticamente em intervalos especificados em um servidor e cria novos para garantir que o minerador de criptografia continue a ser executado.

Isso permite que o malware continue suas operações mesmo se o servidor for reiniciado ou se alguns processos forem temporariamente interrompidos. Para passar despercebido, o malware exclui arquivos e logs específicos que poderiam ser usados para rastrear ou identificar suas atividades no servidor.

Os pesquisadores alertaram que, enquanto o objetivo principal da campanha é implantar o minerador de criptomoedas, os atacantes também ganham controle do servidor afetado, destacando a sua severidade.

As campanhas de cryptojacking visando bancos de dados PostgreSQL têm sido uma ameaça recorrente ao longo dos anos. Em 2020, pesquisadores da Unit 42 da Palo Alto Networks descobriram uma campanha de cryptojacking semelhante envolvendo a botnet PgMiner. Em 2018, foi descoberta a botnet StickyDB, que também infiltrou servidores para minerar Monero.