Segurança cibernética

Mais de 1.500 servidores PostgreSQL são alvos de ataque de criptomineração sem arquivo

Uma campanha maliciosa comprometeu mais de 1.500 servidores PostgreSQL, explorando credenciais fracas para instalar mineradores de criptomoeda sem arquivo, evitando detecção.

01/04/2025 14:39

Uma campanha maliciosa tem explorado instâncias expostas do PostgreSQL para obter acesso não autorizado e implantar mineradores de criptomoeda. A empresa de segurança em nuvem Wiz identificou essa atividade como uma evolução de ataques relatados anteriormente pela Aqua Security em agosto de 2024, envolvendo o malware PG_MEM. Esse ataque foi atribuído ao grupo de ameaças JINX-0126.

Mais de 1.500 servidores PostgreSQL comprometidos em ataque de criptomineração sem arquivo

cibercriminosos-utilizam-mineracao-em-nuvem-para-lavar-criptomoedas

Os cibercriminosos aprimoraram suas técnicas, implementando estratégias para escapar de mecanismos de defesa. Entre elas, está a implantação de binários exclusivos para cada alvo e a execução de mineradores sem arquivo, evitando soluções de segurança baseadas na reputação de hashes de arquivos.

A Wiz estima que mais de 1.500 servidores PostgreSQL tenham sido comprometidos, evidenciando que credenciais fracas ou previsíveis em instâncias expostas continuam sendo um vetor de ataque relevante para grupos mal-intencionados.

Exploração via SQL COPY … FROM PROGRAM

O método central da campanha envolve o uso do comando SQL COPY ... FROM PROGRAM, permitindo a execução de comandos shell arbitrários no servidor atacado. Uma vez explorada essa vulnerabilidade, os atacantes realizam um reconhecimento inicial e implantam uma carga útil codificada em Base64. Esse script de shell elimina mineradores concorrentes e instala um binário malicioso chamado PG_CORE.

Outro componente do ataque é um binário Golang ofuscado, denominado postmaster, que se disfarça como um servidor PostgreSQL legítimo. Ele garante a persistência no sistema por meio de um cron job, cria uma nova conta com permissões elevadas e grava um segundo binário, cpu_hu, no disco.

Uso de minerador XMRig sem arquivo

O cpu_hu tem a função de baixar a versão mais recente do minerador XMRig diretamente do GitHub e executá-lo sem arquivo utilizando a técnica memfd, comum em sistemas Linux. Essa abordagem dificulta a detecção por ferramentas de monitoramento de arquivos.

A Wiz também identificou que os atacantes atribuíram trabalhadores de mineração exclusivos a cada servidor comprometido. Foram descobertas três carteiras de criptomoeda vinculadas aos criminosos, cada uma com cerca de 550 trabalhadores, totalizando mais de 1.500 sistemas afetados por essa campanha de criptomineração clandestina.

Jardeson Márcio

Mais Notícias

Mais artigos

Evite ser enganado

Lojas Secretas da Dark Web: O Que Elas Vendem e Como Evitar Fraudes

A dark web, uma parte obscura da internet, tem atraído atenção crescente, tanto por seus conteúdos ilícitos quanto por sua complexidade e mistério. Neste artigo, iremos explorar as lojas secretas da dark web, o que elas vendem e como você pode se proteger de fraudes nessa área nebulosa da internet. Ao final, você entenderá melhor […]

Vazou e agora?

Dark Web Serasa: O Que Você Precisa Saber Sobre a Exposição de Dados Pessoais

Nos últimos anos, a internet evoluiu de maneiras que muitos de nós não conseguimos imaginar. Enquanto a web tradicional nos conecta a um mundo de informações e interações sociais, existe uma parte oculta da internet que opera nas sombras: a dark web. Este espaço obscuro não é apenas um refúgio para atividades ilícitas, mas também […]

servico-de-phishing-onnx-tem-como-alvo-contas-do-microsoft-365

Ciberataques crescentes

Hackers exploram OAuth 2.0 para invadir contas Microsoft 365

Grupos de cibercriminosos ligados à Rússia estão empregando fluxos legítimos do protocolo OAuth 2.0 como ferramenta para sequestrar contas corporativas do Microsoft 365. As vítimas têm sido, em sua maioria, funcionários de entidades voltadas à defesa dos direitos humanos e organizações com atuação próxima à Ucrânia. Segundo análises da empresa de segurança cibernética Volexity, os […]

Ameaça digital

Golpistas usam Zoom para roubar criptomoedas em ataques sofisticados

Um novo golpe de engenharia social está explorando o recurso de controle remoto do Zoom para invadir dispositivos e roubar criptomoedas. A campanha maliciosa, atribuída ao grupo hacker conhecido como Elusive Comet, tem como alvo usuários que movimentam ativos digitais de alto valor. Golpistas usam Zoom para roubar criptomoedas em ataques sofisticados Como o golpe […]

Tecla de phishing em um teclado, representando a ameaça de ataques cibernéticos.

Ameaça digital

Golpistas usam falha no Google Sites e DKIM para driblar filtros e roubar dados

Cibercriminosos estão explorando uma técnica altamente engenhosa que combina o uso do Google Sites com um ataque conhecido como “repetição de DKIM” (DKIM Replay) para enviar e-mails falsos aparentemente legítimos — com assinaturas válidas — que visam enganar usuários e roubar credenciais de contas do Google. Golpistas usam falha no Google Sites e DKIM para […]

Microsoft terá ChatGPT-as-a-service do Azure em breve

Segurança reforçada

Microsoft fortalece segurança da conta MSA com VMs confidenciais do Azure

A Microsoft deu mais um passo importante em sua estratégia de cibersegurança ao anunciar a migração do serviço de assinatura das Contas Microsoft (MSA) para máquinas virtuais confidenciais (Confidential VMs) do Azure. A mudança visa aumentar a proteção dos dados sensíveis e mitigar falhas exploradas no ciberataque Storm-0558, ocorrido em 2023. Além disso, a empresa […]