Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Зловред проникает на машины через известные уязвимости в серверном ПО и устанавливает майнер Monero.
Эксперты обнаружили модульный загрузчик PsMiner, эксплуатирующий уязвимости серверов на базе Windows и устанавливающий майнер на зараженные системы.
По данным исследователей, за две недели преступники добыли порядка 0,88 XMR, что примерно соответствует $50 по курсу на момент публикации. Эти средства они получили на кошелек, адрес которого вместе с другими настройками для программы XMRig указали в файле config.json.
Майнер на устройство жертвы устанавливает основной модуль зловреда — сценарий WindowsUpdate.ps1. Он загружается на устройство сразу после захвата ОС. Для этого PsMiner запускает PowerShell-скрипт через командную строку. Затем скачанный файл копируется в папку Windows Temp и выполняется каждые десять минут — для этого зловред создает задание «Обновление Службы Windows» в Планировщике задач. Все это делается для того, чтобы PsMiner закрепился в системе.
За проникновение загрузчика на зараженные машины отвечает другой модуль — скрипт systemctl.exe. написанный на Go и объединяющий используемые зловредом способы взлома. Он сканирует Интернет в поисках серверов, содержащих незакрытые уязвимости:
Зловред также эксплуатирует бреши в серверном ПО Hadoop, Redis, SqlServer и ThinkPHP.
Доступ к устройствам PsMiner может получить и через брутфорс. Функция подбора паролей позволяет ему взламывать слабозащищенные учетные записи и аккаунты администраторов, оставивших пару логин/пароль по умолчанию. После захвата сервера зловред не только развертывает майнер, но и запускает модуль systemctl.exe для дальнейшего распространения загрузчика. Для защиты от PsMiner эксперты рекомендуют обновить серверное ПО и использовать надежные пароли.
Схожую атаку в декабре 2017 года обнаружили исследователи из F5 Networks. В рамках кампании Zealot криптоджекеры использовали уязвимости Linux- и Windows-серверов для установки майнера Monero. По самым скромным оценкам, в ходе кампании преступники сгенерировали токенов на $8,5 тыс.
В прошлую пятницу 8 марта прекратил работу сервис для майнинга XMR — Coinhive. На пике популярности он обеспечивал более 60% добываемой в браузерах криптовалюты. Скрипт, задуманный разработчиками как альтернатива рекламным баннерам, использовался во многих мошеннических кампаниях. По словам разработчиков, к закрытию проекта привели изменившиеся рыночные условия.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |