{"id":10561,"date":"2018-07-31T18:05:45","date_gmt":"2018-07-31T21:05:45","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10561"},"modified":"2019-11-22T07:17:58","modified_gmt":"2019-11-22T10:17:58","slug":"powerghost-fileless-miner","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/powerghost-fileless-miner\/10561\/","title":{"rendered":"PowerGhost: cuidado com a minera\u00e7\u00e3o-fantasma"},"content":{"rendered":"

Nossos especialistas descobriram recentemente um minerador<\/a> focado principalmente em redes corporativas. A natureza \u201csem arquivo\u201d do PowerGhost permite que o malware se instale nas esta\u00e7\u00f5es de trabalho e servidores das v\u00edtimas sem ser notado. A maioria dos ataques registrados at\u00e9 agora aconteceram na \u00cdndia, Turquia, Brasil e Col\u00f4mbia.
\nDepois de invadir a infraestrutura de uma empresa, o PowerGhost tenta acessar contas de usu\u00e1rio de rede por meio da Instrumenta\u00e7\u00e3o de Gerenciamento do Windows (WMI), ferramenta leg\u00edtima de administra\u00e7\u00e3o remota. O malware obt\u00e9m logins e senhas com o uso de uma ferramenta de extra\u00e7\u00e3o de dados chamada Mimikatz. O minerador tamb\u00e9m pode ser distribu\u00eddo por meio do Eternal Blue, exploit<\/a> para Windows usado pelos criadores do WannaCry<\/a> e ExPetr<\/a>. Teoricamente, essa vulnerabilidade foi corrigida por um ano, mas na pr\u00e1tica continua em opera\u00e7\u00e3o.<\/p>\n

Uma vez nos dispositivos das v\u00edtimas, o malware tenta ampliar seus privil\u00e9gios por meio de diversas vulnerabilidades do Sistema Operacional (veja a publica\u00e7\u00e3o no Securelist<\/a> para detalhes t\u00e9cnicos). Depois disso, o minerador consegue um ponto de apoio no sistema e come\u00e7a a faturar criptomoedas para seus desenvolvedores.<\/p>\n

Por que o PowerGhost \u00e9 perigoso?<\/strong><\/h3>\n

Como qualquer minerador, o PowerGhost usa seus recursos computacionais para minerar criptomoedas. Isso reduz a performance do servidor e outros dispositivos, assim como acelera significativamente o seu desgaste, o que leva a custos de reposi\u00e7\u00e3o.<\/p>\n

No entanto, comparado com a maioria destes programas, o PowerGhost \u00e9 mais dif\u00edcil de detectar porque n\u00e3o baixa arquivos maliciosos para o dispositivo. E isso significa que pode operar por mais tempo disfar\u00e7ado no seu servidor ou esta\u00e7\u00e3o de trabalho, e causar mais danos.<\/p>\n

Al\u00e9m disso, em uma vers\u00e3o do malware, nossos especialistas descobriram uma ferramenta para ataques DDoS<\/a>. O uso dos servidores de uma empresa para bombardear outra v\u00edtima pode desacelerar ou at\u00e9 mesmo paralisar atividades operacionais. Uma caracter\u00edstica interessante \u00e9 a habilidade do malware de verificar se est\u00e1 sendo executado em um sistema operacional verdadeiro ou em uma sandbox, o que permite desviar de solu\u00e7\u00f5es de seguran\u00e7a comuns.<\/p>\n

Ca\u00e7adores de PowerGhost<\/strong><\/h3>\n

Para evitar infec\u00e7\u00e3o e proteger equipamentos do ataque do PowerGhost e de outros malwares parecidos, voc\u00ea deve monitorar atentamente a seguran\u00e7a das redes corporativas.<\/p>\n

    \n
  • N\u00e3o ignore atualiza\u00e7\u00f5es de softwares e de sistemas operacionais. Todas as vulnerabilidades exploradas pelo minerador j\u00e1 foram corrigidas pelos fornecedores. Criadores de v\u00edrus tendem a basear suas cria\u00e7\u00f5es em exploits para vulnerabilidades corrigidas h\u00e1 muito tempo.<\/li>\n
  • Aprimore as habilidades de conscientiza\u00e7\u00e3o de seguran\u00e7a dos funcion\u00e1rios. Lembre que muitos incidentes cibern\u00e9ticos s\u00e3o causados pelo fator humano.<\/li>\n
  • Utilize solu\u00e7\u00f5es de seguran\u00e7a confi\u00e1veis com tecnologia de an\u00e1lise comportamental \u2013 essa \u00e9 a \u00fanica maneira de capturar amea\u00e7as sem arquivos. Os produtos da Kaspersky Lab para empresas detectam tanto o PowerGhost e seus componentes individuais, quanto muitos outros programas maliciosos, incluindo alguns ainda desconhecidos.<\/li>\n<\/ul>\n\n","protected":false},"excerpt":{"rendered":"

    Malware sem arquivo infecta esta\u00e7\u00f5es de trabalho e servidores em redes corporativas.<\/p>\n","protected":false},"author":2484,"featured_media":10562,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1656],"tags":[218,1185,1588,790,1589,1552,1551],"class_list":{"0":"post-10561","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-smb","10":"tag-ameacas","11":"tag-business","12":"tag-criptomineracao","13":"tag-ddos","14":"tag-malware-sem-arquivo","15":"tag-mineradores","16":"tag-roubo-de-criptomoedas"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/powerghost-fileless-miner\/10561\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/powerghost-fileless-miner\/13753\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/powerghost-fileless-miner\/11516\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/powerghost-fileless-miner\/15815\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/powerghost-fileless-miner\/14095\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/powerghost-fileless-miner\/13220\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/powerghost-fileless-miner\/16598\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/powerghost-fileless-miner\/16030\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/powerghost-fileless-miner\/20963\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/powerghost-fileless-miner\/5166\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/powerghost-fileless-miner\/23310\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/powerghost-fileless-miner\/10782\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/powerghost-fileless-miner\/9531\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/powerghost-fileless-miner\/17369\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/powerghost-fileless-miner\/20964\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/powerghost-fileless-miner\/23714\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/powerghost-fileless-miner\/17032\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/powerghost-fileless-miner\/20678\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/powerghost-fileless-miner\/20676\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10561","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=10561"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10561\/revisions"}],"predecessor-version":[{"id":12901,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10561\/revisions\/12901"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/10562"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=10561"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=10561"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=10561"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}