les logiciels malveillants Cryptomining a détrôné ransomware comme le numéro un cybermenaces, et en tant que tel, il évolue rapidement. Cela étant dit, un mineur Monero basé sur Python en utilisant les exploits NSA volés et désactivation des fonctions de sécurité a été découvert par des chercheurs de sécurité.
"Dans 2016, un groupe se faisant appeler les courtiers ombre fuite un certain nombre d'outils de hacking et exploits zero-day attribués aux acteurs de la menace connue sous le nom du groupe équation, un groupe qui a a été lié à l'Agence de sécurité nationale (NSA) Accès Unité des opérations sur mesure,» chercheurs Fortinet dit. Plus tard en Avril 2017, les pirates a publié plusieurs exploits comme militarisé ETERNALBLUE et ETERNALROMANCE.
Les deux exploits ont été destinés à des versions de Windows XP / Vista / 8.1 / 7/10 et Windows Server 2003/2008/2012/2016. Plus précisement, ces exploits ont profité de CVE-2017-0144 et CVE-2017-0145, patché avec le bulletin de sécurité MS17-010.
Apparemment, le ETERNALBLUE exploit est maintenant utilisé dans cryptomining logiciels malveillants tels que Adylkuzz, Smominru et WannaMine, les chercheurs ont découvert. Le nouveau morceau de malware cryptomining a été surnommé PyRoMine. Les chercheurs ont rencontré les logiciels malveillants après l'atterrissage sur une URL suspecte qui a conduit à un fichier zip contenant un fichier exécutable avec PyInstaller.
C'est ce que Jasper Manuel de Fortinet a partagé en termes de découvrir le nouveau malware:
Je suis venu à l'origine de la hxxp URL malveillant://212.83.190.122/serveur / controller.zip où ce logiciel malveillant peut être téléchargé sous forme de fichier zip. Ce fichier contient un fichier exécutable compilé avec PyInstaller, qui est un programme qui emballe des programmes écrits en Python en exécutables autonomes. Cela signifie qu'il n'y a pas besoin d'installer Python sur la machine afin d'exécuter le programme Python.
Afin d'extraire et d'analyser le script Python et les paquets qu'il utilise, le chercheur a utilisé un outil en PyInstaller dubbedpyi-archive_viewer. L'utilisation Pyi-archive_viewer, il a pu extraire le fichier principal, « Contrôleur. » Nommé
PyRoMine est pas la première cryptominer qui utilise la NSA précédemment divulgués exploits pour aider leur distribution plus sur les ordinateurs. Tout système Windows qui n'a pas appliqué le correctif Microsoft pour l'exploit est vulnérable aux logiciels malveillants PyRoMine et pièces similaires.
Ce malware est une menace réelle car il utilise non seulement la machine pour l'exploitation minière de crypto-monnaie, mais il ouvre aussi la machine pour les attaques futures possibles car il démarre les services RDP et désactive les services de sécurité, le chercheur a noté. Les utilisateurs qui n'ont pas téléchargé le patch de Microsoft pour les vulnérabilités CVE-2017-0144 et CVE-2017-0145 devraient le faire le plus rapidement possible de ici.
En outre, les utilisateurs doivent déployer des logiciels anti-malware pour protéger leurs systèmes contre toutes les formes de logiciels malveillants.
scanner SpyHunter ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: