Uma operação bem elaborada está utilizando uma versão do infame malware Mirai para distribuir secretamente software de mineração de criptomoedas.

Eles nomearam a campanha de NoaBot, que tem estado ativa por cerca de um ano, apresentando várias peculiaridades que complicam a análise do malware e indicam atores de ameaças altamente qualificados.

O botnet NoaBot se espalha pelo protocolo SSH do Linux, que oferece acesso remoto seguro a um computador ou servidor através de uma rede. Como parte do ataque, o malware instala uma versão modificada do minerador XMRig em dispositivos infectados.

Os pesquisadores da Akamai observaram que os detalhes da campanha são um tanto nebulosos. Os cibercriminosos tomam grande cuidado para ocultar o endereço da carteira para onde o criptominerador envia as moedas mineradas. Outros aspectos da campanha também são difíceis de avaliar.

A obfuscação do malware e o código personalizado demonstram um alto nível de segurança operacional, o que geralmente indica atores de ameaças maduros. No entanto, a nomeação dos binários do malware e algumas de suas strings incluídas são consideradas infantis, complicando a atribuição.