Σύμφωνα με τις δηλώσεις ενός ερευνητή ασφαλείας, ένα cryptomining worm που ανακαλύφθηκε πρόσφατα φαίνεται να στοχεύει όλο και περισσότερο συσκευές Windows και Linux.
Δείτε ακόμα: Χάκερς της Βόρειας Κορέας στοχεύουν ξανά ερευνητές ασφαλείας!
Η ερευνητική εταιρεία Juniper, άρχισε να παρακολουθεί αυτό που αποκαλεί Sysrv botnet από τον Δεκέμβριο. Ένα από τα στοιχεία κακόβουλου λογισμικού του botnet ήταν ένα worm, που εξαπλώνεται από μια ευάλωτη συσκευή σε μια άλλη, χωρίς να απαιτείται καμία ενέργεια από τους χρήστες. Αυτό το πετυχαίνει ανιχνεύοντας το Διαδίκτυο για ευάλωτες συσκευές και όταν τις εντοπίσει, τις μολύνει χρησιμοποιώντας μια λίστα εκμεταλλεύσεων που έχει αυξηθεί με την πάροδο του χρόνου.
Το κακόβουλο λογισμικό περιλαμβάνει επίσης ένα cryptominer που χρησιμοποιεί μολυσμένες συσκευές Windows και Linux για τη δημιουργία ψηφιακού νομίσματος Monero. Υπήρχε ένα ξεχωριστό δυαδικό αρχείο για κάθε στοιχείο.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Δείτε επίσης: Νέο worm εγκαθιστά XMRig cryptominers σε Windows και Linux servers
Μέχρι τον Μάρτιο, οι προγραμματιστές του Sysrv είχαν ξανασχεδιάσει το κακόβουλο λογισμικό για να συνδυάσουν το worm και τον cryptominer. Επιπλέον, έδωσαν στο script που φορτώνει το κακόβουλο λογισμικό τη δυνατότητα προσθήκης κλειδιών SSH, πιθανότατα ως τρόπο για να το καταστήσουν πι ασφαλές από τις επανεκκινήσεις και για να έχει πιο εξελιγμένες δυνατότητες. Το worm εκμεταλλεύτηκε έξι ευπάθειες που χρησιμοποιούνται σε επιχειρήσεις, συμπεριλαμβανομένων των Mongo Express, XXL-Job, XML-RPC, Saltstack, ThinkPHP και Drupal Ajax.
«Με βάση τα δυαδικά αρχεία που έχουμε δει και τη στιγμή που τα έχουμε δει, διαπιστώσαμε ότι κακόβουλοι παράγοντες ενημερώνουν συνεχώς το οπλοστάσιο εκμετάλλευσής τους», δήλωσε ο ερευνητής του Juniper Paul Kimayong την Πέμπτη.
Δείτε επίσης: Χάκερς παραβίασαν κάμερες ασφαλείας των Tesla, Cloudflare και άλλων!
Η ομάδα της Juniper Research, ανακάλυψε ότι το κακόβουλο λογισμικό χρησιμοποιεί τις ακόλουθες ευπάθειες:
- Mongo Express RCE (CVE-2019-10758)
- XXL-JOB Unauth RCE
- XML-RPC (CVE-2017-11610)
- CVE-2020-16846 (Saltstack RCE)
- ThinkPHP RCE
- CVE-2018-7600 (Drupal Ajax RCE)
Η απειλή από αυτό το botnet δεν είναι μόνο η πίεση στους υπολογιστικούς πόρους και η αποστράγγιση ηλεκτρικής ενέργειας. Το κακόβουλο λογισμικό που έχει τη δυνατότητα να εκτελεί ένα cryptominer σχεδόν, σίγουρα μπορεί επίσης να εγκαταστήσει ransomware και άλλα κακόβουλα είδη σε συσκευές Windows και Linux. Η ανάρτηση που έκανε η εταιρεία ασφαλείας την Πέμπτή έχει δεκάδες δείκτες που οι διαχειριστές μπορούν να χρησιμοποιήσουν για να δουν εάν οι συσκευές τους έχουν μολυνθεί.