Эксперты обнаружили модульный загрузчик PsMiner, эксплуатирующий уязвимости серверов на базе Windows и устанавливающий майнер на зараженные системы.
По данным исследователей, за две недели преступники добыли порядка 0,88 XMR, что примерно соответствует $50 по курсу на момент публикации. Эти средства они получили на кошелек, адрес которого вместе с другими настройками для программы XMRig указали в файле config.json.
Майнер на устройство жертвы устанавливает основной модуль зловреда — сценарий WindowsUpdate.ps1. Он загружается на устройство сразу после захвата ОС. Для этого PsMiner запускает PowerShell-скрипт через командную строку. Затем скачанный файл копируется в папку Windows Temp и выполняется каждые десять минут — для этого зловред создает задание «Обновление Службы Windows» в Планировщике задач. Все это делается для того, чтобы PsMiner закрепился в системе.
За проникновение загрузчика на зараженные машины отвечает другой модуль — скрипт systemctl.exe. написанный на Go и объединяющий используемые зловредом способы взлома. Он сканирует Интернет в поисках серверов, содержащих незакрытые уязвимости:
Зловред также эксплуатирует бреши в серверном ПО Hadoop, Redis, SqlServer и ThinkPHP.
Доступ к устройствам PsMiner может получить и через брутфорс. Функция подбора паролей позволяет ему взламывать слабозащищенные учетные записи и аккаунты администраторов, оставивших пару логин/пароль по умолчанию. После захвата сервера зловред не только развертывает майнер, но и запускает модуль systemctl.exe для дальнейшего распространения загрузчика. Для защиты от PsMiner эксперты рекомендуют обновить серверное ПО и использовать надежные пароли.
Схожую атаку в декабре 2017 года обнаружили исследователи из F5 Networks. В рамках кампании Zealot криптоджекеры использовали уязвимости Linux- и Windows-серверов для установки майнера Monero. По самым скромным оценкам, в ходе кампании преступники сгенерировали токенов на $8,5 тыс.
• Source: bleepingcomputer[.]com/news/security/malware-spreads-as-a-worm-uses-cryptojacking-module-to-mine-for-monero/
По данным исследователей, за две недели преступники добыли порядка 0,88 XMR, что примерно соответствует $50 по курсу на момент публикации. Эти средства они получили на кошелек, адрес которого вместе с другими настройками для программы XMRig указали в файле config.json.
Майнер на устройство жертвы устанавливает основной модуль зловреда — сценарий WindowsUpdate.ps1. Он загружается на устройство сразу после захвата ОС. Для этого PsMiner запускает PowerShell-скрипт через командную строку. Затем скачанный файл копируется в папку Windows Temp и выполняется каждые десять минут — для этого зловред создает задание «Обновление Службы Windows» в Планировщике задач. Все это делается для того, чтобы PsMiner закрепился в системе.
За проникновение загрузчика на зараженные машины отвечает другой модуль — скрипт systemctl.exe. написанный на Go и объединяющий используемые зловредом способы взлома. Он сканирует Интернет в поисках серверов, содержащих незакрытые уязвимости:
- CVE-2018-1273 — в Spring Data Commons;
- CVE-2017-10271 — в Weblogic;
- CVE-2015-1427 и CVE-2014-3120 — в ElasticSearch
Зловред также эксплуатирует бреши в серверном ПО Hadoop, Redis, SqlServer и ThinkPHP.
Доступ к устройствам PsMiner может получить и через брутфорс. Функция подбора паролей позволяет ему взламывать слабозащищенные учетные записи и аккаунты администраторов, оставивших пару логин/пароль по умолчанию. После захвата сервера зловред не только развертывает майнер, но и запускает модуль systemctl.exe для дальнейшего распространения загрузчика. Для защиты от PsMiner эксперты рекомендуют обновить серверное ПО и использовать надежные пароли.
Схожую атаку в декабре 2017 года обнаружили исследователи из F5 Networks. В рамках кампании Zealot криптоджекеры использовали уязвимости Linux- и Windows-серверов для установки майнера Monero. По самым скромным оценкам, в ходе кампании преступники сгенерировали токенов на $8,5 тыс.
• Source: bleepingcomputer[.]com/news/security/malware-spreads-as-a-worm-uses-cryptojacking-module-to-mine-for-monero/