- Регистрация
- 22 Фев 2019
- Сообщения
- 1,191
- Баллы
- 0
- Веб-сайт
- opencard.pw
- Общие продажи
- 0$
- Общие покупки
- 0$
Эксперты обнаружили модульный загрузчик PsMiner, эксплуатирующий уязвимости серверов на базе Windows и устанавливающий майнер в зараженные системы.
По данным исследователей, за две недели преступники добыли порядка 0,88 XMR, что примерно соответствует $50 по курсу на момент публикации. Эти средства они получили на кошелек, адрес которого вместе с другими настройками для программы XMRig указали в файле config.json.
Майнер на устройство жертвы устанавливает основной модуль зловреда — сценарий WindowsUpdate.ps1. Он загружается на устройство сразу после взлома. Для этого PsMiner запускает PowerShell-скрипт через командную строку. Затем скачанный файл копируется в папку Windows Temp и выполняется каждые десять минут — для этого зловред создает задание «Обновление Службы Windows» в Планировщике задач. Все это делается для того, чтобы PsMiner закрепился в системе.
За проникновение загрузчика на зараженные машины отвечает другой модуль — скрипт systemctl.exe. написанный на Go и объединяющий используемые зловредом способы взлома. Он сканирует Интернет в поисках серверов, содержащих незакрытые уязвимости:
- CVE-2018-1273 — в Spring Data Commons,
- CVE-2017-10271 — в Weblogic,
- CVE-2015-1427 и — в Elasticsearch.
Доступ к устройствам PsMiner может получить и через брутфорс. Функция подбора паролей позволяет ему взламывать слабозащищенные учетные записи и аккаунты администраторов, оставивших пару логин/пароль по умолчанию. После взлома сервера зловред не только развертывает майнер, но и запускает модуль systemctl.exe для дальнейшего распространения загрузчика. Для защиты от PsMiner эксперты рекомендуют обновить серверное ПО и использовать надежные пароли.
Схожую атаку в декабре 2017 года обнаружили исследователи из F5 Networks. В рамках кампании Zealot криптоджекеры использовали уязвимости Linux- и Windows-серверов для установки майнера Monero. По самым скромным оценкам, в ходе кампании преступники сгенерировали токенов на $8,5 тыс.
В прошлую пятницу 8 марта прекратил работу сервис для майнинга XMR — Coinhive. На пике популярности он обеспечивал более 60% добываемой в браузерах криптовалюты. Скрипт, задуманный разработчиками как альтернатива рекламным баннерам, использовался во многих мошеннических кампаниях. По словам разработчиков, к закрытию проекта привели изменившиеся рыночные условия.