Платим блогерам
Блоги
Блогер
Благодаря новым эксплоитам и возможностям угроза ботнета Sysrv увеличивается

реклама

Недавно обнаруженный червь-криптомайнер усиливает атаки на устройства на Windows и Linux с помощью ряда новых эксплоитов и возможностей. Исследовательская компания Juniper начала отслеживать ботнет Sysrv в декабре. Одним из компонентов вредоносного ПО ботнета был червь, который распространялся с одного уязвимого устройства на другое без каких-либо действий со стороны пользователя. Он делал это путём сканирования интернета на наличие уязвимых устройств и, при обнаружении, заражения их с помощью списка эксплоитов, который со временем увеличивался.

реклама

Вредоносное ПО также включало себя криптомайнер, который использует заражённые устройства для добычи цифровой валюты Monero. Для каждого компонента был отдельный двоичный файл.

К марту разработчики Sysrv переработали вредоносное ПО, чтобы объединить червя и майнер в один двоичный файл. Они также дали скрипту, который загружает вредоносное ПО, возможность добавлять ключи SSH. Это может быть способом улучшить его способность выдерживать перезагрузки компьютера. Червь применял шесть уязвимостей в программном обеспечении и средах, используемых на предприятиях, включая Mongo Express, XXL-Job, XML-RPC, Saltstack, ThinkPHP и Drupal Ajax.

«Судя по собранной информации, злоумышленник постоянно обновляет свой арсенал эксплоитов», написал в своём блоге исследователь Juniper Пол Кимайонг. В статье перечислены более десятка эксплоитов, атакованных вредоносным приложением.

Разработчики также изменили майнинговые пулы, к которым присоединяются заражённые устройства. Майнером является версия XMRig с открытым исходным кодом, которая в настоящее время применяет следующие пулы для майнинга:

  • Xmr-eu1.nanopool.org:14444
  • f2pool.com:13531
  • minexmr.com:5555

Согласно сайту сравнения прибыльности майнинговых пулов PoolWatch.io, используемые Sysrv пулы являются тремя из четырёх лучших майнинговых пулов Monero.

«В совокупности у них почти 50% хэш-скорости сети», пишет Кимайонг.

Nanopool показывает, что кошелёк получил 8 XMR на сумму около $1700 с 1 по 28 марта. Он получает около 1 XMR каждые два дня.

Бинарный файл Sysrv - это 64-битный двоичный файл Go, созданный с помощью упаковщика исполняемых файлов UPX с открытым исходным кодом. Есть версии как для Windows, так и для Linux. По данным VirusTotal, два случайно выбранных двоичных файла Windows были обнаружены 33 и 48 из 70 ведущих антивирусов. В двух случайно выбранных двоичных файлах Linux было 6 и 9 обнаружений.

Угроза этого ботнета заключается не только в нагрузке на вычислительные ресурсы и повышенном расходе электроэнергии. Вредоносные программы, способные запускать криптомайнер, почти наверняка могут устанавливать программы-вымогатели и другие вредоносные программы.

Источник: arstechnica.com
7
Показать комментарии (7)

Популярные новости

Популярные статьи

Сейчас обсуждают