La botnet Satori infame ha sido una vez más atrapados en la naturaleza, esta vez dirigido equipos de minería para la criptomoneda Etereum. Los investigadores denominaron esta última iteración Satori.Coin.Robber.
Satori es una red de bots que explota una falla en Huawei y un error en dispositivos basados en SDK Realtek. Estas vulnerabilidades han sido explotados para atacar e infectar ordenadores. La red de bots en sí fue escrito en la parte superior de la devastadora botnet Mirai IO. operadores de Satori explotados sólo estos dos vulnerabilidades para dirigirse con éxito a cientos de dispositivos, los investigadores informaron.
Artículo relacionado: Módulo proxy en Necurs Botnet podría conducir a ataques DDoS
Los operadores Satori Cambiar a Etereum criptomoneda robo en Satori.Coin.Robber Operación
A pesar de que los investigadores de seguridad fueron rápidos en responder a los ataques y se detuvieron al servidor de comando y control en diciembre, 2017, es muy probable que los mismos operadores están detrás de los ataques más recientes Satori. actores de amenaza simplemente desplazado hacia lo que está más de moda en el momento - criptomoneda.
"Empezando desde 2018-01-08 10:42:06 GMT + 8, nos dimos cuenta de que una variante sucesor de Satori (nombramos Satori.Coin.Robber) comenzado a restablecer toda la red de bots en los puertos 37215 y 52869,”Dijeron los investigadores NETlab que descubrió los nuevos ataques.
Estos nuevos ataques son bastante único en su naturaleza. La nueva variante Satori hackea varios huéspedes mineras en el Internet a través de su puerto de administración 3333 que ejecuta el software Claymore Miner. El software malicioso se reemplaza la dirección de la cartera en los hosts con su propia dirección cartera. Los dispositivos comprometidos están ejecutando en su mayoría de Windows.
Los investigadores dicen que es la minería Satori.Coin.Rober actualmente activa. El malware también tiene una potencia de cálculo promedio de 1606 MH / s para el último par de días. La cuenta de los delincuentes ha acumulado 0.1733 Etereum en un día.
Curiosamente, el autor de la botnet ha dejado su dirección de correo electrónico, visible en la siguiente nota:
Satori dev aquí, no te alarmes sobre este robot no tiene actualmente ningún propósito el envío de paquetes maliciosos mueven a lo largo. I puede ser contactado en curtain@riseup.net
En cuanto a la parte minera - cuando se explota una plataforma minera, la botnet Satori.Coin.Robber libera tres cargas útiles. La primera carga útil es en la forma de un paquete que contiene información sobre el estado de la plataforma de la minería. La segunda carga útil reemplaza las direcciones de cartera mediante la actualización del archivo de reboot.bat. La última carga se reinicia el dispositivo host con la nueva dirección que lleva al robo de la Etereum minada por la víctima.
Para más información, leer la totalidad informe.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: