# GhostMiner > Tipo: **cryptominer** · [Minerva Labs Research](https://minerva-labs.com/) ## Descrição [[ghostminer|GhostMiner]] é um cryptominer sofisticado que usa técnicas avançadas de "living off the land" (LotL) e execução fileless para minerar Monero (XMR) em sistemas comprometidos enquanto evita detecção por soluções de segurança. Descoberto em 2018, o GhostMiner se diferencia de cryptominers simples por utilizar scripts PowerShell altamente ofuscados e carregamento de código em memória (sem escrita em disco) para executar o minerador XMRig. O malware se propaga explorando servidores com aplicações web vulneráveis - Oracle WebLogic, MSSQL, PHPMyAdmin - o que explica seu impacto desproporcional em ambientes de servidor. Uma característica distintiva do [[ghostminer|GhostMiner]] é sua agressividade contra outros malwares concorrentes: o código inclui rotinas que detectam e encerram processos de outros mineradores conhecidos para monopolizar os recursos de CPU do sistema comprometido. Esta "limpeza de território" é comum em cryptominers avançados que competem pelos mesmos recursos. O malware também desabilita ou modifica ferramentas de segurança e monitora processos de análise para se autodestruir se detectado. O modelo de ameaça do [[ghostminer|GhostMiner]] é relevante além do impacto financeiro direto da mineração não-autorizada: a presença de um cryptominer em ambiente de servidor indica que o ambiente foi comprometido e pode ter sido inicialmente comprometido por atores de espionagem ou ransomware que optaram por monetizar o acesso de forma menos barulhenta. Cryptominers frequentemente coexistem com outros malwares mais perigosos nos mesmos sistemas. **Plataformas:** Windows, Linux ## Técnicas Utilizadas - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar uso anômalo de CPU em servidores (cryptominers tipicamente utilizam 70-100% da CPU disponível) > - Detectar execução de PowerShell com argumentos Base64 de alto volume de código > - Alertar sobre conexões de rede para pools de mineração conhecidos (pool.supportxmr.com, etc.) > - Verificar ausência ou desabilitação inesperada de soluções de segurança em servidores > - Monitorar exploração de vulnerabilidades em Oracle WebLogic, MSSQL e PHPMyAdmin como indicadores de entrada ## Relevância LATAM/Brasil O Brasil possui uma infraestrutura significativa de servidores de aplicações, incluindo servidores Oracle WebLogic utilizados por bancos, e-commerce e sistemas governamentais - alvos primários do [[ghostminer|GhostMiner]]. O custo de energia elétrica no Brasil, embora mais alto que países asiáticos, ainda torna a mineração não-autorizada lucrativa para operadores. Além do impacto financeiro direto (consumo de energia e degradação de performance), a presença de cryptominers em servidores críticos indica falhas de segurança que podem ser exploradas por ameaças mais graves. Organizações brasileiras devem incluir detecção de cryptominers em seus programas de monitoramento de SOC. ## Referências - [Minerva Labs - GhostMiner Analysis](https://minerva-labs.com/blog/new-ghostminer-malware/)