Novo Crypto-Miner em NAS QNAP

QNAP avisa os utilizadores sobre um novo Crypto-miner chamado Dovecat que está a infectar os seus dispositivos.

A QNAP refere que o malware tem como alvo dispositivos NAS com passwords fracas.

O fornecedor de hardware sediado em Taiwan, QNAP, publicou um comunicado de segurança alertando os clientes sobre uma nova variante de malware chamada Dovecat, que atualmente tem como alvo a sua linha de dispositivos de armazenamento de rede (NAS) para utilizar abusivamente os recursos locais e minerar criptomoeda de forma incógnita dos seus utilizadores.

A empresa disse que o malware está se espalhando devido a expor-se online sistemas NAS da QNAP utilizando password fracas.

O comunicado de segurança surgiu depois de a empresa ter começado a receber relatórios de seus utilizadores, no ano passado sobre dois processos desconhecidos – denominados dovecat [1, 2] e dedpma – que funcionavam sem parar e consumiam a memória do dispositivo.

Pode-se verificar se o dispositivo está infectado, procurando os referidos processos dovecat e dedpma, na lista de processos em execução:

Matthew Ruffell, um engenheiro de software da Canonical e fundador do Dapper Linux, analisou o malware no passado ano, quando o encontrou num sistema Ubuntu Linux.

De acordo com sua análise, o malware é capaz de infectar qualquer sistema Linux, mas parecia ter sido projetado especificamente para a estrutura interna dos dispositivos NAS da QNAP.

A utilização do nome de processo “dovecat” também foi propositada, para que o malware se tentasse passar como Dovecot, que é um daemon de e-mail legítimo que vem com o firmware QNAP e muitas distribuições Linux.

Mas, como Ruffell referiu, os ataques de Dovecat foram indiscriminados. Infecções semelhantes também foram relatadas por utilizadores de dispositivos NAS Synology, onde o malware também parecia ter funcionado sem problemas.

Uma vez que o factor de infecção estava relacionado com passwords fracas, para evitar infecções com esta nova ameaça, a QNAP recomenda aos utilizadores que:

  • Use passwords de administrador mais fortes.
  • Use passwords mais fortes para administradores de bases de dados.
  • Desabilite os serviços SSH e Telnet se não estiverem em uso.
  • Desabilite serviços e aplicações não utilizadas.
  • Evite usar números de porta padrão (80, 443, 8080 e 8081).
  • Atualize o QTS para a versão mais recente.
  • Instale a versão mais recente do Removedor de Malware.
  • Instale o Conselheiro de Segurança e execute a Política de Segurança Intermediária (ou superior).
  • Instale uma firewall.
  • Habilite a Proteção de Acesso à Rede para proteger contas de ataques de força bruta.
  • Siga as práticas recomendadas para aumentar a segurança NAS.

Mas no grande esquema das coisas, Dovecat não é a primeira variante de malware a ter como alvo dispositivos QNAP. Os sistemas de armazenamento QNAP também eram anteriormente visados ​​pelo Muhstik ransomware, o malware QSnatch, o ransomware ec0raix e o ransomware AgeLocker.