Cryptomining malware er detroniserede ransomware som nummer et cyber trussel, og som sådan, det er i hastig udvikling. Når det er sagt, en Python-baserede Monero minearbejder hjælp af stjålne NSA exploits og invaliderende sikkerhedsfunktioner er blevet opdaget af sikkerhedseksperter.
"I 2016, en gruppe, der kalder sig selv Shadow Mæglere lækket en række hacking værktøjer og zero-day exploits tilskrives de trusler aktører kendt som ligning Group, en gruppe, der er blevet bundet til National Security Agency 's (NSA) Skræddersyet Adgang Operations enhed,”Fortinet forskere sagde. Senere i april 2017, hackerne udgivet flere våbengjort exploits som ETERNALBLUE og ETERNALROMANCE.
De to bedrifter blev rettet mod Windows-versioner XP / Vista / 8,1 / 7/10 og Windows Server 2003/2008/2012/2016. Mere specifikt, disse bedrifter udnyttede CVE-2017-0144 og CVE-2017-0145, lappet med MS17-010 sikkerhedsbulletin.
Tilsyneladende, den ETERNALBLUE exploit er nu udnyttet i cryptomining malware såsom Adylkuzz, Smominru og WannaMine, Forskerne fandt ud af. Den nye stykke cryptomining malware blev døbt PyRoMine. Forskerne kom på tværs af malware efter landingen på en mistænkelig webadresse, der førte til en zip-fil, som indeholder en eksekverbar med PyInstaller.
Dette er, hvad Jasper Manuel fra Fortinet delte med hensyn til at opdage den nye malware:
Jeg kom oprindeligt på den ondsindede URL hxxp://212.83.190.122/server / controller.zip hvor denne malware kan downloades som en zip-fil. Denne fil indeholder en eksekverbar fil kompileret med PyInstaller, som er et program, der pakker programmer skrevet i Python i stand-alone eksekverbare. Det betyder, at der ikke er behov for at installere Python på maskinen for at udføre Python-programmet.
For at udtrække og analysere Python script og pakkerne, det bruger, forskeren udnyttede et værktøj i PyInstaller dubbedpyi-archive_viewer. Anvendelse Pyi-archive_viewer, han var i stand til at udtrække de vigtigste fil, med navnet ”controller”.
PyRoMine er ikke den første cryptominer der bruger tidligere lækket NSA exploits til at støtte deres videre fordeling på tværs af computere. Ethvert Windows-system, der ikke har anvendt Microsoft patch til at udnytte er sårbar over for PyRoMine og lignende malware stykker.
Dette malware er en reel trussel, da det ikke kun bruger maskinen til cryptocurrency minedrift, men det åbner også maskinen for eventuelle fremtidige angreb, da det begynder RDP-tjenester og deaktiverer sikkerhedstjenester, forskeren bemærkede. Brugere, der ikke har downloadet Microsofts patch til de CVE-2017-0144 og CVE-2017-0145 sårbarheder bør gøre det så hurtigt som muligt fra her.
Desuden, brugere bør installere anti-malware-software for at beskytte deres systemer mod alle former for malware.
SpyHunter scanner vil kun afsløre truslen. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: