Den Smominru botnet, som er en velkendt våben, der anvendes af kriminelle organisationer er blevet afsløret at gennemføre en massiv kampagne med det formål at inficere ofrene med cryptocurrency minearbejdere.
Nyttelasten filer, som bærer infektioner er JPEG-billeder af Taylor Swift. De alternative navne, som botnettet er kendt omfatter MyKings og Darkcloud.
Taylor Swift billeder kan få dig inficeret med en minearbejder: Attack Koordineret Af Smominru botnet
Den Smominru botnet er et velkendt trussel, der har været kendt aktiv siden 2016 og anvendes i forskellige målrettede angreb. I de fleste tilfælde er det blevet brugt til at levere minearbejdere og trojanske heste mod fastsatte mål. I nogle af de nyeste versioner hackere har tilføjet et bootkit funktion hvilket vil deaktivere kører sikkerhedssoftware og tjenester, og gemme sig fra opdagelsen. Botnets som denne bliver distribueret ved hjælp af forskellige taktikker, men de mest populære er følgende:
- Brute Tvinger login-forsøg - De infektioner vil blive automatiseret ved brug af hacking værktøjssæt, der vil identificere kører tjenester på målet og forsøge ordbog angreb og brute force logins.
- sårbarhed udnytter - De toolkits kan søge efter svagheder i de tjenester og bruge populære bedrifter med henblik på at overtage kontrollen over enhederne.
Rapporterne viser, at den nye version af Smominru botnet er blevet iværksat for at udbrede JPEG-billeder af Taylor Swift. Disse filer er udstationeret i en JPG foto-format til en offentlig opbevaringssted. Når de er tilgængelige for ofrene et script vil lancere eksekverbar kode, der vil starte en infektion. Botnettet infektion vil også indstilles som en vedvarende trussel hvilket betyder, at de konfigurationsfiler og indstillinger vil blive ændret til automatisk at starte, så snart som værter er begyndt.
Den vigtigste motor vil levere farlig cryptocurrency minearbejdere som er små og mellemstore scripts, der vil hente komplekse opgaver, der vil “mine” den Monero cryptocurrency - behandling transaktioner på decentraliseret netværk. Indtil videre botnettet har rekrutteret 45,000 værter og vil minen $300 per dag. Ifølge rapporterne de vigtigste mål for botnet er placeret i Asien. De bedste lande er: Porcelæn, Rusland, Taiwan, Indien, USA og Japan. Den hacking gruppe bag det seneste angreb kampagner menes at blive oplevet som de opdaterede versioner er en væsentlig forbedring i forhold til de tidligere iterationer.
Bortset fra de minearbejdere der er andre infektioner, som leveres af botnet:
- PCShare Trojan - Denne trojanske starter automatisk, hver gang computeren er tændt, og start den typiske trojanske motor, der vil gøre det muligt for hackere at overtage kontrollen over offeret værter.
- DNSChanger Trojan - Denne trojanske modul vil udvise et avanceret system forandring handling - værtens DNS-indstillinger vil blive ændret til en kinesisk-baseret server. Det er ikke drevet af en hacking gruppe i øjeblikket, og grunden til dette er ikke kendt. Andre moduler omfatter en SQL brute force komponent, masse port scanning og et netværk opdagelse tilstand.
- Dloadr Malware - Det er farligt Nullsoft Installer arkiver, der bruges til at levere forskellige former for virus trusler.
- Forshare Trojan - Dette er en fe fælles Trojan, som indeholder kinesisk tekst i sin meta-data.
- Coin Stealer Trojan - Nogle af de mindre almindelige trusler inkluderer sådan malware. De udfører flere kontroller, der vil se for enhver installeret cryptocurrency software og webtjenester. Motoren vil manipulere felterne og høste kontodata de for at kapre deres aktiver.
I betragtning af den handling, at de igangværende angreb er en succes og fortsætter med at være spredt Vi forventer, at fremtidige opdateringer af botnet og nye angreb kampagner vil fortsat blive produceret.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: