Smominru Botnet inficerer maskiner med Monero Cryptocurrency Miner

Cybersikkerhed analytikere opdagede en massiv verdensomspændende angreb bærer en farlig malware kaldet Smominru botnet. Det er i stand til at manipulere konfigurationen af ​​de kompromitterede værter og har vist sig at installere en Monero cryptocurrency minearbejder, som udnytter de tilgængelige ressourcer og bruger dem til at generere indtægter for operatørerne. Læs hele analysen for at lære mere om det, samt at finde ud af, hvordan du beskytter dig mod indkommende trusler. Hvis nogen oplever symptomer på en aktiv botnet-infektion, de kan bruge vores dybdegående Smominru fjernelse guide til at genoprette deres systemer.

Smominru botnet angreb Surge: Kilde til Infektioner

Computer sikkerhed analytikere opdaget, at et nyt botnet angreb, der har formået at inficere tusinder af ofre i en meget kort tid. I øjeblikket er der ingen oplysninger om identiteten af ​​hacker eller kriminelle kollektiv bag det. Nogle af de eksperter foreslår, at folkene bag det er en lille hacker gruppe.

Tidligere noget af sin kode blev brugt til at sprede trusler som Mirai hvilket gør det til et potent våben i hænderne på hver kriminel. De opnåede prøver fremvise at infektionen metoder hovedsageligt er relateret til automatiseret penetration test. Angrebet platform kan indlæse forskellige udnyttelser, der er målrettet en bred vifte af apparater, servere og IoT enheder. Ifølge de frigivne rapporter den stigende rente af infektioner forårsaget af lave sikkerhed og standard legitimationsoplysninger efterladt af ejerne. De virkninger på databaseservere kan være særlig ødelæggende. De normalt kører på Microsoft Windows-servere og har adgang både til internettet og det interne netværk. I mange tilfælde er de også de administrative kontrollører af enheder såsom kameraer og andre enheder. To af de mest anvendte udnyttelser er følgende:

• EternalBlue (CVE-2017-0144) - Dette er den velkendte exploit populært anvendes i løbet af de WannaCry ransomware angreb i maj 2017. De udnytter sårbarheder i SMB-protokollen, der er brugt til fildeling på de moderne versioner af Microsoft Windows.
• EsteemAudit (CVE-2017-0176) - Dette er en svaghed i Smart Card autentificering kode, der bruges i server versioner af Microsoft Windows.

Afhængig af hacker konfiguration indsat trussel kan være noget andet end det Smominru botnet: ransomware, Trojanere og etc. Men de rapporter viser klart, at den vigtigste nyttelast i alle kampagner hidtil synes at være den Monero cryptocurrency minearbejder. De Smominru botnet angreb ofre primært placeret i Rusland, Indien, Brasilien, Taiwan og Ukraine.

Smominru Botnet Analyse: Skader Potentiel Rapport

Vi har været i stand til at opnå flere rapporter, som udstillingsvindue, hvordan malware fungerer, så snart der er valgt målene. I sammenligning med andre lignende trusler det bruger en fe kompleks opførsel sekvens. Efter at der er registreret en sårbarhed den exploit-kode automatisk lanceret som udfører infiltration.

Den næste del af Smominru botnet infektion sker ved hjælp af WMI scripts. De kan programmeres ved hjælp af flere populære programmeringssprog (PowerShell og VBScript f.eks) som downloader og engagerer den vigtigste malware motor. Det er vigtigt at bemærke, at når malwaren er indsat til offeret er vært den vinder evnen til at skabe sine egne processer med administratorrettigheder. Det kan også hook til andre applikationer automatisk eller som en del af de installerede adfærdsmønstre. Når infektionen er operationelle en grundlæggende konfigurationsfil er indlæst. Det kan variere fra offer til offer og kan være involveret et utal af forskellige mønstre. Den anden fase indlæser en Trojan-modul der interessant nok rapporterer til en sekundær hacker-kontrollerede server. Der er to primære tilgange til dette:

• Den trojanske kode kan styres af en anden gruppe, en populær taktik som undertiden foreslået på de underjordiske hacker fora. De kriminelle kan planlægge højt profilerede indtrængen ved at organisere sig i grupper - den første man tager sig af de faktiske indtrængen mens den anden styrer de deraf følgende virkninger og indsat malware kode.
• Hvis alle komponenter og hacker adfærdsmønstre er værker af den samme kriminelle kollektive derefter brugen af ​​adskillige hacker servere. Hvis det vigtigste man går offline, så vil de stadig har evnen til at kontrollere de inficerede værter.

Det næste skridt installerer en cryptocurrency minearbejder der starter automatisk for at drage fordel af de tilgængelige hardware ressourcer. De komplekse computing operationer gennemsøge Monero digitale valuta som overføres til operatørerne som fortjeneste. Dette er en af ​​de mest populære alternativer til Bitcoin og over de seneste par uger har vi set flere store angreb, der leverer lignende malware.

En anden bølge af malware komponenter kan følge Smominru botnet. Den sidste bølge af tilsætninger kan føre til systemændringer. Et eksempel er den institution i en vedvarende tilstand af udførelse som automatisk forhindrer manuel bruger fjernelse forsøg. I sådanne tilfælde vil der være behov anvendelsen af ​​en kvalitet anti-spyware løsning til at fjerne de aktive infektioner. Hvis nogen Windows registreringsdatabasen modifikationer er lavet brugerne kan opleve problemer med ydeevnen og applikation eller tjeneste fiasko.
I øjeblikket er det anslås, at omkring 500 000 computerbrugere er påvirket af de seneste angreb kampagner og deres antal støt vokser. Det menes, at den genererede overskud beløber sig til 8900 Monero som ved dagens valutakurs beløber sig til omkring $2,086,409.23.

Smominru botnet modulær ramme Capabilities

Den omstændighed, at botnettet er lavet ved hjælp af en modulær ramme gør det muligt for kriminelle grupper til at skabe yderligere opdateringer. Vi formoder, at kildekoden kan lagt online i hacker underjordiske fora for salg eller handles mellem de forskellige grupper. Analytikerne bemærke, at denne type trussel er kategoriseret som fileless. Det betyder, at hele angreb kan være forårsaget af scripts, der udfører alle yderligere skridt i hukommelsen af ​​værtscomputeren, indtil truslen er monteret helt.
Anti-virus scanner kan undgås, hvis den informationsindsamling modul foretager i løbet af de første handlinger indtrængen. Lige efter scripts køres hackere kan integrere et bestemt adfærdsmønster i malware konfiguration. Det er i stand til at scanne systemet - både harddisken og den kører hukommelse til følsomme oplysninger. Der er to hovedkategorier af data, der kan skitserede:

• Personlig data - Hackerne kan høste strenge, der er relateret til identitet. Den malware motoren er programmeret til at erhverve alle slags oplysninger i relation til ofrets navn, adresse, placering, præferencer og endda adgangskoder.
• Anonym data - Forskellige statistikker om den version af operativsystemet og de hardwarekomponenter er indsamlet af motoren.

I mange tilfælde på grund af den dybe infektion malware operatører kan også hente data fra de brugerdefinerede installeret applikationer samt. Et populært eksempel er webbrowseren - hackere kan høste de lagrede data: historie, bogmærker, formulardata, præferencer, cookies, adgangskoder og kontooplysninger. Ved hjælp af de samme mekanismer, de kan også pålægge en omdirigere kode ved at ændre standard hjemmeside, søgemaskine og nye faner side. Normalt ofrene bliver omdirigeret til malware sider, institut tracking cookies og udspionere brugerne.

Nogle af de opnåede prøver blev fundet at funktionen en stealth beskyttelse funktion, der kan konfigureres individuelt afhængig af angreb kampagne. Brug den hentede oplysninger botnet kan scanne for tilstedeværelse af anti-virus software, sandkasse og debugging miljøer og virtuelle maskiner. De kan omgås eller fjernes, og hvis malware ikke er i stand til at gøre, så det kan vælge at slette sig selv for at undgå at blive opdaget.
De virus-filer kan også programmeres til at inficere Vinduer mappe ved at omdøbe deres bestanddele, systemfiler og placere dem der. Når dette anvendes i en kombination med en keylogger hackere kan optage alle musens bevægelser og tastetryk i en database, der videresendes til hacker operatører.
Under den grundige kode analyse blev det opdaget, at nogle af de producerede malware prøver signeres med kinesiske certifikater. Det er muligt, at hacker grupper opererer fra eller en af ​​deres servere er placeret der.

Computerbrugere kan bør altid være på vagt over for malware infektioner. En gratis scanning kan afsløre sådanne tilfælde og muliggøre en enkel fjernelse.

Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter

Martin Beltov

Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.

Flere indlæg

Følg mig: