Den berygtede Satori botnet endnu en gang blevet fanget i naturen, denne gang rettet mod rigge minedrift for Ethereum cryptocurrency. Forskere døbt denne seneste iteration Satori.Coin.Robber.
Satori er et botnet, der udnytter en fejl i Huawei og en fejl i Realtek SDK-baserede enheder. Disse sårbarheder er blevet udnyttet til at angribe og inficere computere. Den botnet selv blev skrevet oven på den ødelæggende Mirai tingenes internet botnet. Satori operatører udnyttes netop disse to sårbarheder til succes målrette hundredvis af enheder, forskere rapporteret.
relaterede Story: Proxy modul i Necurs Botnet kan føre til DDoS angreb
Satori Operatører Skift til Ethereum Cryptocurrency Tyveri i Satori.Coin.Robber Operation
Selvom sikkerhed forskere var hurtige til at reagere på angrebene og standsede den kommando og kontrol-server i december, 2017, Det er meget sandsynligt, at de samme operatører står bag de nyeste Satori angreb. Threat skuespillere netop skiftet til, hvad der er trendy i øjeblikket - cryptocurrency.
"Startende fra 2018-01-08 10:42:06 GMT + 8, Vi har bemærket, at en Satori efterfølger variant (Vi kalder det Satori.Coin.Robber) begyndte at genetablere hele botnet på havnene 37215 og 52869,”Sagde Netlab forskere, der opdagede de nye angreb.
Disse nye angreb er helt unik i deres natur. Den nye Satori varianten fine kombination da i forskellige minedrift værter på internettet via deres forvaltning havn 3333 der kører Claymore Miner softwaren. Den malware derefter erstatter tegnebogen adresse på værterne med sin egen tegnebog adresse. De kompromitterede enheder er for det meste kører Windows.
Forskere siger, at Satori.Coin.Rober øjeblikket minedrift aktivt. Den malware har også en gennemsnitlig beregning magt 1606 MH / s for de sidste par dage. Den højde for de cyberkriminelle har akkumuleret 0.1733 Ethereum på en dag.
Mærkeligt nok, forfatteren af botnettet har forladt sin e-mail-adresse, synlige i følgende kommentar:
Satori dev her, dont blive alarmeret om denne robot det ikke på nuværende tidspunkt nogen ondsindede pakning, efter formål bevæger sig langs. Jeg kan kontaktes på curtain@riseup.net
Som for minedrift del - når en minedrift riggen udnyttes, den Satori.Coin.Robber botnet frigiver tre nyttelast. Den første nyttelast er i form af en pakke, der indsamler oplysninger om minedrift tilstand af riggen. Den anden nyttelast erstatter de tegnebog adresser ved at opdatere reboot.bat fil. Den sidste nyttelast genstarter værten enhed med den nye adresse, som fører til tyveri af Ethereum udvundet af offeret.
For mere information, læse hele rapport.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: