Недавно обнаруженный червь-криптомайнер усиливает атаки на устройства на Windows и Linux с помощью ряда новых эксплоитов и возможностей. Исследовательская компания Juniper начала отслеживать ботнет Sysrv в декабре. Одним из компонентов вредоносного ПО ботнета был червь, который распространялся с одного уязвимого устройства на другое без каких-либо действий со стороны пользователя. Он делал это путём сканирования интернета на наличие уязвимых устройств и, при обнаружении, заражения их с помощью списка эксплоитов, который со временем увеличивался.
Вредоносное ПО также включало себя криптомайнер, который использует заражённые устройства для добычи цифровой валюты Monero. Для каждого компонента был отдельный двоичный файл.
К марту разработчики Sysrv переработали вредоносное ПО, чтобы объединить червя и майнер в один двоичный файл. Они также дали скрипту, который загружает вредоносное ПО, возможность добавлять ключи SSH. Это может быть способом улучшить его способность выдерживать перезагрузки компьютера. Червь применял шесть уязвимостей в программном обеспечении и средах, используемых на предприятиях, включая Mongo Express, XXL-Job, XML-RPC, Saltstack, ThinkPHP и Drupal Ajax.
«Судя по собранной информации, злоумышленник постоянно обновляет свой арсенал эксплоитов», написал в своём блоге исследователь Juniper Пол Кимайонг. В статье перечислены более десятка эксплоитов, атакованных вредоносным приложением.
Разработчики также изменили майнинговые пулы, к которым присоединяются заражённые устройства. Майнером является версия XMRig с открытым исходным кодом, которая в настоящее время применяет следующие пулы для майнинга:
- Xmr-eu1.nanopool.org:14444
- f2pool.com:13531
- minexmr.com:5555
Согласно сайту сравнения прибыльности майнинговых пулов PoolWatch.io, используемые Sysrv пулы являются тремя из четырёх лучших майнинговых пулов Monero.
«В совокупности у них почти 50% хэш-скорости сети», пишет Кимайонг.
Nanopool показывает, что кошелёк получил 8 XMR на сумму около $1700 с 1 по 28 марта. Он получает около 1 XMR каждые два дня.
Бинарный файл Sysrv - это 64-битный двоичный файл Go, созданный с помощью упаковщика исполняемых файлов UPX с открытым исходным кодом. Есть версии как для Windows, так и для Linux. По данным VirusTotal, два случайно выбранных двоичных файла Windows были обнаружены 33 и 48 из 70 ведущих антивирусов. В двух случайно выбранных двоичных файлах Linux было 6 и 9 обнаружений.
Угроза этого ботнета заключается не только в нагрузке на вычислительные ресурсы и повышенном расходе электроэнергии. Вредоносные программы, способные запускать криптомайнер, почти наверняка могут устанавливать программы-вымогатели и другие вредоносные программы.
