Hackers atacam servidores para minerar criptomoedas

Hackers usam vulnerabilidade no JDWP para minerar criptomoedas

Pesquisadores da Wiz identificaram um novo método de ataque onde hackers exploram o Java Debug Wire Protocol (JDWP) para minerar criptomoedas em sistemas comprometidos.

• Exploração do JDWP: O protocolo, usado para depuração em Java, não possui controle de acesso, permitindo execução remota de código (RCE) quando exposto à internet.
• Mineração oculta: Os invasores implantam uma versão modificada do XMRIG (software de mineração de Monero) com configuração embutida, evitando detecção. Proxies de pool escondem a carteira dos atacantes.
• Alvos comuns: Aplicativos como TeamCity, Apache Tomcat e Jenkins, quando em modo de depuração, podem iniciar servidores JDWP inadvertidamente.

Como o ataque funciona:

1. Os hackers escaneiam a internet em busca de portas JDWP abertas (como a 5005).
2. Após confirmar a vulnerabilidade, executam um script malicioso que:
   • Elimina processos concorrentes (como outros mineradores).
   • Baixa e executa o XMRIG de um servidor externo.
   • Cria tarefas agendadas (cron jobs) para persistência.

Dados preocupantes:
Mais de 2.600 IPs foram detectados escaneando JDWP, sendo 1.500 maliciosos. Hong Kong, Alemanha e EUA são as principais origens.

Contexto adicional:
Enquanto isso, outro malware (HpingBot) está em evolução, capaz de realizar ataques DDoS via HPING3, mostrando a diversificação das ameaças cibernéticas.