Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Зловред устанавливает на веб-серверах ПО для добычи криптовалют и агрессивно расширяет сеть за счет конкурентов.
Исследователи обнаружили масштабную вредоносную кампанию ботнета Neutrino, направленную на внедрение майнеров на веб-серверы. Ее отличительная черта — агрессивное поведение по отношению к конкурентам: при обнаружении стороннего вредоносного ПО Neutrino взламывает его веб-интерфейс и перехватывает управление.
Аналитики полагают, что все происходящее представляет собой очередной этап эволюции трояна, также известного как Kasidet. Этот зловред на пике своей популярности генерировал до 85% трафика эксплойт-паков. Со временем операторы свернули его активность, однако теперь Neutrino возвращается в виде криптоботнета.
Зловред заражает веб-серверы через целый набор уязвимостей:
Помимо функции сканирования, в коде Neutrino также предусмотрена возможность принимать команды с удаленного сервера и делать снимки экрана. Но наибольший интерес экспертов вызвали опции, направленные против других киберпреступников.
Так, зловред умеет похищать токены Ethereum из незащищенных хранилищ, используя список дефолтных паролей. По словам специалистов, в июне 2018 года преступники похитили таким образом криптовалюту на сумму в 20 млн долларов.
Второй вектор атаки направлен на сторонние бэкдоры, которые Neutrino ищет в пораженных системах. Зловред определяет 162 различные веб-оболочки, используемые для скрытого доступа к интернет-серверам. При их обнаружении он пытается подобрать к ним код доступа и в случае успеха берет бэкдор под контроль. Таким образом, Neutrino поглощает конкурирующие ботнеты.
Как установили исследователи, основную часть жертв нынешней кампании составляют Windows-серверы, на которых работает система phpStudy. Это виртуальная образовательная среда, которую используют многие веб-разработчики.
Кроме того, среди зараженных серверов обнаружилось 20 тыс. систем phpMyAdmin — зловред взламывает их через уязвимость CVE-2010-3055. В тех случаях, когда на целевой системе установлен патч для этого бага, преступники пытаются подобрать пароль, чтобы удалить с сервера данные и потребовать за них выкуп. Специалисты рекомендуют пользователям phpMyAdmin установить сильный пароль для основного аккаунта и проверить наличие всех обновлений безопасности.
За время исследования Neutrino несколько раз обновился, получив новые эксплойты. Это говорит о том, что операторы зловреда активно поддерживают свой продукт, а значит, в ближайшее время его угроза будет только расти.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |