Apesar de ter correção desde Março, a mesma vulnerabilidade do Windows que causou a epidemia do WannaCry e do Petya/NotPetya está sendo explorada por um novo malware.
Batizado de Coinminer pela empresa de segurança Trend Micro, responsável por sua descoberta, o novo vírus sequestra recursos do sistema para minerar moedas virtuais.
O Coinminer utiliza a brecha de segurança do protocolo SMBv1, conhecida como EternalBlue e empregada inicialmente pela NSA para operações de espionagem. De acordo com a Trend Micro, através da EternalBlue o novo malware está se espalhando pela Ásia, mais especificamente pelo Japão, atacando sistemas que ainda não foram atualizados mesmo com tantos riscos envolvidos. Sorrateiro, o vírus desvia processamento da máquina para a produção de criptomoedas para seus criadores.
Outra característica sofisticada do Coinminer descoberta pela Trend Micro é sua capacidade incomum de empregar scripts de Windows Management Instrumentation (WMI) para ser executado a partir da memória, o que dificulta sua detecção. Normalmente, WMI é uma ferramenta legítima para administradores de sistema para gerenciar dispositivos remotos e obter dados, mas os cibercriminosos estão empregando o recurso para estabelecer uma conexão com servidores de comando e controle, em uma estratégia similar à adotada pelo infame Stuxnet no passado.
A recomendação da Trend Micro é atualizar os sistemas para prevenir a disseminação do Coinminer e outras ameaças que certamente virão a seguir, assim como desabilitar o recurso do WMI em redes que não tenham necessidade dessa funcionalidade.
