mineurs Monero sont l'un des plus populaires logiciels malveillants liés qui sont crypto-monnaie distribué dans les campagnes d'attaque au cours des derniers mois. Les stratégies de pirates informatiques semblent les inclure dans un grand nombre de différents types de tentatives d'infiltration. Cependant, les dernières campagnes d'attaque semblent se concentrer sur un nouveau type de tactique en utilisant les mineurs doubles Monero ensemble contre les réseaux informatiques dans le monde entier.
Campagnes d'attaque avec les mineurs Double Monero Spotted
les chercheurs en sécurité informatique et les analystes reçoivent constamment des rapports pour les campagnes d'attaque en cours qui comportent des charges utiles mineurs crypto-monnaie primaire ou secondaire. Ils sont devenus populaires comme ne doit charger un petit script en mémoire afin de commencer les calculs complexes. Les mineurs exécutent un logiciel spécial qui utilisent les ressources matérielles disponibles afin de générer des crypto-monnaie qui est transmis aux opérateurs criminels. La majorité de la mine de menaces pour cryptocurrencies les plus populaires: Bitcoin, Monero et Ethereum.
À l'heure actuelle un nouveau type de campagnes d'attaque est en cours de contre les réseaux informatiques dans le monde entier. Les criminels ciblent principalement les serveurs de base de données en utilisant une vulnérabilité découverte. Le problème identifié est CVE-2017-10271 qui est décrit dans le advisotry comme suit:
Une vulnérabilité dans le composant Oracle WebLogic Server Oracle Fusion Middleware (sous-composant: WLS sécurité). Versions prises en charge qui sont touchées sont 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 et 12.2.1.2.0. Facilement la vulnérabilité exploitable permet attaquant non authentifié avec un accès réseau via T3 à compromettre Oracle WebLogic Server. attaques réussies de cette vulnérabilité peut entraîner une prise de contrôle d'Oracle WebLogic Server. CVSS 3.0 base de Score 7.5 (impacts Disponibilité). Vecteur CVSS: (CVSS:3.0/DE:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H).
Les pirates utilisent le code d'exploitation qui est souvent utilisé avec des boîtes à outils de pirates informatiques automatisés et des plates-formes. En utilisant les commandes automatiques les criminels peuvent cibler des milliers de réseaux de manière secondes. En raison de la vulnérabilité exploite les criminels peuvent accéder au réseau aux serveurs ainsi que la possibilité de prendre le contrôle des systèmes. Le fait intéressant est que si les attaques traditionnelles se concentrent généralement sur les dépassements de contrôle des serveurs impactés celui-ci les contamine avec double mineurs Monero.
Les mineurs Double Monero Payload et son importance
La tactique de l'utilisation de doubles mineurs Monero est nouvelle car il est utilisé d'une manière non traditionnelle. Une fois que les machines ont été touchés par le code d'exploitation de deux logiciels de mineurs sont séparés institué sur les dispositifs d'aide aux victimes. La première est une version de 64 bits qui est l'option par défaut et la variante de sauvegarde est un exécutable compilé 32 bits. Si le premier fichier ne démarre pas alors les attaquants instruisent les logiciels malveillants pour lancer l'option de sauvegarde. En analysant les campagnes les experts en sécurité ont découvert que les différentes versions du code d'exploitation se diffusent - il y a tests et les versions finales séparées. Cela signifie que le pirate informatique individuelle ou collective criminelle derrière les attaques participent activement à son développement continu.
Monero mineurs Motif d'exécution
Les infections commencent après la vérification de vulnérabilité a passé. Le script télécharge des logiciels malveillants trois fichiers liés à l'exploitation minière aux machines compromises:
- Javaupd.exe - Une instance de mineur qui est déguisé en une mise à jour de l'environnement d'exécution Java (JRE) qui est souvent installé par les utilisateurs d'ordinateurs afin d'exécuter des applications Java. En se faisant passer pour l'application populaire du virus rend plus difficile la découverte que dans certains cas, le service peut utiliser plus de ressources matérielles au cours de son exécution.
- startup.cmd - C'est le module de démarrage automatique qui est responsable de la état persistant d'exécution. Il est utilisé pour démarrer automatiquement le code malveillant et empêcher que d'autres applications d'interférer avec les mineurs.
- 3.exe - Une instance secondaire malveillant.
Le composant de démarrage automatique associé aux mineurs Monero est placé sur le système dans le dossier Démarrage. Après cela, il est exécuté et lance une commande Powershell qui crée deux tâches planifiées:
- La première tâche télécharge les dernières versions des instances de mineurs Monero à partir d'un site contrôlé pirate informatique. La chaîne présente que la tâche est nommé “Mise à jour Oracle Java” et est réglé pour exécuter tous les 80 minutes afin de nier les problèmes de réseau possibles.
- La deuxième tâche est nommé “Oracle Java” et est réglé pour exécuter tous les jours et vérifier si la première tâche a terminé avec succès.
Une fois que les tâches ont été complète le script de contrôle lance le script approprié en exécutant la charge utile secondaire (3.exe). Il vérifie si le système est capable d'exécuter la version 64 bits ou 32 bits du code, puis télécharge et exécute le fichier concerné. est téléchargé un nouveau fichier qui est appelé logonui.exe qui est enregistré en tant que service Windows et appelé “Microsoft Telemetry”. La version appropriée (32 ou 64 bits) est chargé au cours de cette phase de l'initiation de logiciels malveillants.
Conséquences des mineurs Double Monero
Les experts de la sécurité noter que les mineurs Monero installés peuvent avoir un impact très puissant sur les performances de l'ordinateur victime. Comme deux instances distinctes sont installés sur les hôtes les victimes peuvent ne pas être en mesure d'éliminer tous d'une manière efficace. Nous rappelons à nos lecteurs que l'état persistant de l'installation peut également être liée à des changements dans les options de configuration registre Windows et système d'exploitation. De telles modifications peuvent rendre très difficile, voire impossible, d'éliminer les infections en utilisant des méthodes manuelles. Les analystes de sécurité notent que les mineurs Monero dispose d'une la collecte d'informations module qui a la capacité de scanner les hôtes infectés pour d'autres logiciels malveillants et.
Comme les campagnes d'attaque sont toujours en cours et l'identité des criminels est encore inconnue. Nous soupçonnons que les versions mises à jour peuvent apporter des fonctionnalités supplémentaires, provoquer des changements et peut système encore plus dangereux aussi être utilisés comme mécanismes de distribution de charge utile.
Nous rappelons à nos lecteurs qu'ils peuvent se protéger du danger en utilisant une solution anti-spyware qualité.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter