Este malware usa a mesma vulnerabilidade do WannaCry para ganhar dinheiro
Adylkuzz é um minerador de Monero que se instala silenciosamente em PCs com Windows
Antes mesmo dos ataques do WannaCry, ransomware que sequestrou arquivos de empresas ao redor do mundo, outro malware se aproveitou da mesma vulnerabilidade do Windows para se propagar. A diferença é que a praga, batizada de Adylkuzz, não chama a atenção do usuário e não some com os arquivos: em vez disso, ela silenciosamente transforma seu computador em uma mineradora de criptomoedas.
O Adylkuzz utiliza a capacidade de processamento do seu PC para minerar Monero, uma moeda virtual semelhante ao Bitcoin, mas focada em privacidade e bem menos popular — enquanto a soma do valor de todas as bitcoins em circulação era de mais de US$ 30 bilhões enquanto eu escrevia este parágrafo, o Monero tinha valor de mercado de apenas US$ 425 milhões.
A ProofPoint, empresa de segurança que descobriu o malware, identificou vários endereços de Monero associados com o ataque. Um deles já tinha ganhado o equivalente a mais de US$ 22 mil com as máquinas zumbis; outro, US$ 7 mil; e um terceiro, US$ 14 mil. Não é muito, mas, dado que o WannaCry conseguiu fazer apenas US$ 84 mil mesmo com tanto barulho, é um valor considerável.
O processo de infecção é o mesmo do WannaCry: ele se aproveita da falha de segurança no SMBv1, protocolo de compartilhamento de arquivos do Windows, e se espalha rapidamente pelas máquinas vulneráveis na mesma rede. Acredita-se que o Adylkuzz esteja em atividade desde, pelo menos, 2 de maio, mas há vestígios de sua mineração desde 24 de abril.
O curioso é que o Adylkuzz bloqueia o SMB (mais especificamente a porta TCP 445) depois de infectar a máquina para evitar “concorrência” com outros malwares que se aproveitem da mesma vulnerabilidade do Windows. Como o minerador de Monero surgiu há mais tempo, isso significa que o Adylkuzz pode ter contido a propagação do WannaCry (!) por ter chegado antes.
A melhor forma de se proteger contra o WannaCry e o Adylkuzz, claro, é mantendo o Windows sempre atualizado. A falha de segurança já foi corrigida pela Microsoft em março.