# Miner-C > Tipo: **cryptominer** · S0133 · [MITRE ATT&CK](https://attack.mitre.org/software/S0133) ## Descrição **Miner-C** (também detectado como **Mal/Miner-C** por fornecedores de segurança) é um malware de mineração de criptomoeda **Monero (XMR)** que se propagou específicamente através de **servidores FTP e dispositivos NAS** (Network Attached Storage) expostos à internet. Diferente de cryptominers que atacam sistemas de desktop convencionais, o Miner-C direcionou dispositivos de armazenamento em rede - incluindo dispositivos Seagaté NAS - para usar sua capacidade de processamento na mineração de Monero. O malware foi descoberto pelos pesquisadores da Sophos em 2016. Sua técnica de propagação via contaminação de conteúdo compartilhado ([[t1080-taint-shared-content|T1080]]) permite que se espalhe automaticamente por redes onde usuários acessam compartilhamentos de arquivos FTP comprometidos. **Plataformas:** Linux, Windows, Network Devices (NAS) ## Mecanismo de Propagação ```mermaid graph TB A["🔍 Scan FTP Público<br/>Busca por servidores FTP<br/>com acesso anônimo"] --> B["📁 Infecção NAS/FTP<br/>Deposita executável Miner-C<br/>em pastas compartilhadas"] B --> C["👤 Engenharia Social<br/>Usuário baixa arquivo<br/>disfarçado como legítimo"] C --> D["💻 Execução do Miner<br/>Processo de mineração<br/>Monero em background"] D --> E["📡 Pool de Mineração<br/>Conexão a pool XMR<br/>via HTTP/HTTPS"] E --> F["💰 XMR ao Atacante<br/>Recompensa de mineração<br/>coletada remotamente"] classDef scan fill:#1a5276,color:#fff,stroke:#154360 classDef infect fill:#c0392b,color:#fff,stroke:#922b21 classDef social fill:#e67e22,color:#fff,stroke:#d35400 classDef mine fill:#8e44ad,color:#fff,stroke:#6c3483 classDef pool fill:#196f3d,color:#fff,stroke:#145a32 classDef money fill:#7f8c8d,color:#fff,stroke:#626567 class A scan class B infect class C social class D mine class E pool class F money ``` > [!info] Alvo: NAS Seagaté Central > O Miner-C tinha como alvo específico dispositivos **Seagaté Central NAS**, usando o FTP anônimo habilitado por padrão para depositar o minerador em pastas de usuário. Pesquisadores da Sophos identificaram mais de **1.700 dispositivos** Seagaté Central infectados com Miner-C em um único scan. ## Técnicas MITRE ATT&CK | Técnica | Descrição | |---------|-----------| | [[t1080-taint-shared-content\|T1080]] | Taint Shared Content - deposita malware em compartilhamentos FTP/NAS acessíveis | | [[t1071-application-layer-protocol\|T1071]] | Application Layer Protocol - comunicação com pool de mineração via HTTP | | [[t1562-001-impair-defenses-disable-or-modify-tools\|T1562.001]] | Impair Defenses - desabilita ferramentas de segurança para executar minerador | ## Contexto: Criptomoeda Monero para Mineração de Malware O Miner-C faz parte de uma geração de malware de **cryptojacking** que escolheu **Monero (XMR)** em vez de Bitcoin por razões técnicas: - Algoritmo **RandomX** é CPU-friendly (não requer GPU dedicada como Bitcoin) - Transações Monero são **privadas e não rastreáveis** (ring signatures, stealth addresses) - Pools de mineração Monero aceitam payouts pequenos via XMR addresses anônimos ## Grupos Relacionados e Malware Similar - [[rocke-group|Rocke Group]] - grupo de cryptojacking focado em servidores Linux/nuvem (China) - [[s0885-lemonduck|LemonDuck]] - cryptominer/botnet moderno com técnicas similares - [[xmrig|XMRig]] - ferramenta legítima de mineração XMR frequentemente abusada por malware ## Relevância para o Brasil e LATAM > [!info] Risco Moderado - NAS e FTP Corporativos > Dispositivos NAS e servidores FTP com acesso anônimo ainda são comuns em **PMEs brasileiras e órgãos públicos**. O Miner-C (2016) é historicamente datado, mas a classe de ameaça de cryptomining via NAS exposto é **ainda relevante** com variantes mais modernas. Organizações brasileiras com servidores FTP públicos ou NAS Seagaté desatualizados devem: (1) desabilitar FTP anônimo; (2) atualizar firmware de dispositivos NAS; (3) monitorar uso anômalo de CPU em servidores de armazenamento. O padrão de atacar dispositivos de armazenamento em rede (NAS) foi retomado por grupos modernos como [[s0885-lemonduck|LemonDuck]] e campanhas de mineração em nuvem. ## Referências - [MITRE ATT&CK - S0133](https://attack.mitre.org/software/S0133) - [Sophos - Miner-C Analysis](https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Mal~Miner-C/detailed-analysis.aspx)