Как сообщают исследователи из Trend Micro, вредоносный ботнет обнаружен в 21 стране и наиболее распространен в Южной Корее. Авторы ПО пользуются тем, что открытые порты ADB не требуют аутентификации по умолчанию, и после установки вредоносная программа распространяется на любую систему, которая ранее использовала соединение по SSH. Отметим, что SSH использует широкий спектр устройств – от мобильных гаджетов до устройств Интернета вещей, а это означает, что многие продукты становятся восприимчивы к распространению вредоносного ПО.
«Когда устройство получает статус известного, две системы могут обмениваться данными друг с другом без какой-либо дополнительной аутентификации. После первоначального обмена ключами каждая система считает другую безопасной. Наличие механизма распространения может означать, что эта вредоносная программа может злоупотреблять широко используемым процессом создания SSH-соединений», – отмечают исследователи.
Вредоносное ПО определяет, какой майнер лучше всего подходит для этого устройства в зависимости от производителя системы, архитектуры, типа процессора и другого аппаратного обеспечения.
Исследователи из Trend Micro изучили сценарий вторжения и определили три потенциальных майнера, которые могут быть использованы в атаке, причем все они распространяются одним и тем же URL:
http://198.98.51.104:282/x86/bash
http://198.98.51.104:282/arm/bash
http://198.98.51.104:282/aarch64/bash
Исследователи также обнаружили, что сценарий расширяет память хоста за счет включения HugePages, позволяющего страницам памяти, размер которых превышает размер по умолчанию, оптимизировать вывод данных во время майнинга. Если майнеры уже были обнаружены с помощью системы, ботнет пытается аннулировать их URL и удалить их, изменив код хоста.
Недавно Trend Micro обнаружила, что ботнет хакерской группы Outlaw распространяет ПО для майнинга Monero, а ранее компания сообщила, что уязвимость в Oracle WebLogic используется для установки вирусов-майнеров. До этого специалисты по кибербезопасности из Trend Micro сообщили об обнаружении другого вируса-майнера под названием BlackSquid.
Делитесь вашим мнением об этой новости в комментариях ниже.