En Linux-baserede Valuta Miner botnet, som er blevet døbt PyCryptoMiner er blevet opdaget af sikkerhedseksperter. Den botnet, der er baseret på en cryptocurrency minearbejder har opnået cyberkriminelle i det mindste 158 Monero hvilket svarer til $63,000.
PyCryptoMiner er skrevet i Python, som har gjort det muligt for botnet operatører for at holde det under radaren.
"I modsætning til en binær malware alternativ, et scriptsprog-baserede malware er mere undvigende af natur, da det let kan korrumperet. Det er også udført i et legitimt binær, som kunne være en af de PERL / Python / Bash / Go / PowerShell tolke leveret med næsten alle Linux / Windows fordeling,”Forskere fra F5 Networks sagde i deres rapport.
PyCryptoMiner Tekniske Specifikationer
Hvem er i drift denne botnet bruger også brute-force-angreb rettet mod Linux-systemer med udsatte SSH-porte. I tilfælde af at adgangskoden er afdækket så cyberkriminelle implementere Python scripts og installere Monero minearbejder malware.
Forskere mener også, at cyberkriminelle også bruger en udnytte til JBoss-server i deres kampagne, der er blevet identificeret som CVE-2017-12.149. Men, indsættelsen af brute-force og udnytte af SSH er også en del af cyberkriminelle angreb arsenal.
Det interessante er, at den PyCryptoMiner botnet har ikke hard-kodede adresser på sine kommando- og kontrolsystemer servere som den modtager dem fra Pastebin indlæg. Den botnet er også i stand til at fungere som en scanner knude betydning, at det scanner internettet for Linux-maskiner med åbne SSH porte, og forsøg på at gætte SSH logins. I tilfælde af en succes, malwaren bruger en simpel base64-kodet spydspids Python-script, som forbindes til kommando og kontrol-server til at udføre mere Python kode, forskerne sagde. Scriptet selv er placeret i den vigtigste controller bot og er i stand til følgende aktiviteter:
- At blive vedholdende på den kompromitterede maskine ved at registrere som et cron job ( en tidsbaseret job scheduler i Unix-lignende operativsystemer);
- Indsamling detaljer om den kompromitterede maskine som oplysninger om antallet af CPU'er.
- Indsamlede oplysninger sendes typisk til kommandoen og kontrollen server.
PyCryptoMiner botnet aktivitet
Tilsyneladende, botnettet er i øjeblikket inaktiv, som dets servere er offline. Ikke desto mindre, det betyder ikke, at det ikke vil blive genaktiveret i nye ondsindede og krypto minedrift kampagner. Hvis botnet operatør opdaterer Pastebin stillinger til punkt til en ny kommando og kontrol-server, derefter botnet kan hurtigt blive bragt tilbage online.
Som allerede nævnt, botnettet er også designet til at grave for potentiel udnytte mulighederne for CVE-2017-12.149, et nyligt beskrevet sårbarhed. Det betyder, at sårbare JBoss-servere kan være det næste mål for den PyCryptoMiner.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig:
Dette er næppe en malware. Hvis du får adgang til maskinen, du kan gøre en masse ting andet end bare at køre en minedrift script.
Hej, Ja, men det hele kommer ned til hvem konfigureret det. Nogle malware forfattere ofte til formål at integrere lovlige minearbejdere i malware programmer og tilføje andre “ting” at malware gør. Disse er funktioner, at hjælpe det til at udbrede såvel som selv-opdatering, kopiere sig selv og forblive korrumperet.
Som det fremgår af artiklen den minearbejder er en del af et omfattende Python som er modulopbygget i naturen. Som en konsekvens af de hacker operatører kan udføre en bred vifte af malware adfærd.
På grund af den seneste stigning af minearbejdere er det vigtigt for os at spore alle aktuelle begivenheder.