728x90

Подразделение телекоммуникационной корпорации AT&T Alien Labs проанализировало распространение вредной программки для укрытого майнинга Monero, которая внедряется на почтовые серверы.

В размещенном на данной для нас недельке отчете исследователя в области сохранности Фернандо Домингеса (Fernando Domínguez) тщательно рассказывается об тамошнем, а как вредная программка для укрытого майнинга распространяется на уязвимых серверах Exim, Confluence и WebLogic. Программка устанавливает вредный код, который добывает Monero сквозь прокси-сервер. По заданным ZDNet, серверы Exim воображают наиболее половины любых почтовых серверов.

В начале вирус вводит на сервер BASH-скрипт, который инспектирует наличие конкурирующих действий майнинга и прекращает них, до этого чем просочиться на остальные прибора в паутине. Согласно отчету F5, криптовалютные майнеры зачастую прекращают остальные процессы майнинга при инфецировании системы, дабы по максимуму задействовать прибор. Потом на взломанные серверы загружается вредное ПО (то есть программное обеспечение — комплект программ для компьютеров и вычислительных устройств) на базе программки для укрытого майнинга Monero XMRig.

XMRig, дешевая для скачки на GitHub, уже издавна предстала лидером у взломщиков. Конкретно она использовалась за базу вируса-майнера, который заразил наиболее 500 000 компов с Mac OS в 2017 году. По заданным профессионалов Alien Labs, измененный майнер ишачит сквозь прокси-сервер, чего выполняет отслеживание добытых криптовалют либо распознавание адреса кошелька почти неосуществимым без доступа к прокси-серверу.

При загрузке программки а также загружается и иной файл с именованием Sesame, схожий уникальному BASH-скрипту. Это же ключ к стойкости вируса: он подключается к задачке планировщика с пятиминутным интервалом, чего дозволяет ему же противостоять попыткам ликвидирования и выключениям системы. Он может а также автоматизированно обновляться до новеньких версий.

Alien Labs начала изучить вирус в июне 2019 года. До этого подобные изучения были проведены корпорацией Lacework. Спецы пока закончить знают, как машисто всераспространен этот безымянный майнер. В отчете Alien Labs отмечается, чего «мудрено оценить, какой же доход эта кампания принесла тем самым, кто ей же заведует», однако, вероятнее всего, он «закончить весьма значителен».