Le botnet infâme Satori a de nouveau été capturés dans la nature, ciblant cette fois les plates-formes minières pour la crypto-monnaie Ethereum. Les chercheurs ont surnommé cette dernière itération Satori.Coin.Robber.
Satori est un botnet qui exploite une faille dans Huawei et un bogue dans les appareils basés sur SDK Realtek. Ces vulnérabilités ont été exploitées pour attaquer et infecter les ordinateurs. Le botnet lui-même a été écrit sur le dessus du botnet dévastateur Mirai IdO. Les opérateurs de Satori exploités seulement ces deux vulnérabilités pour cibler avec succès des centaines de dispositifs, Les chercheurs ont rapporté.
histoire connexes: Module Proxy Necurs Botnet pourrait conduire à des attaques DDoS
Satori Opérateurs Passez à l'Ethereum vol dans Satori.Coin.Robber crypto-monnaie Opération
Même si les chercheurs en sécurité ont été prompts à réagir aux attaques et stoppées le serveur de commande et de contrôle en Décembre, 2017, il est très probable que les mêmes opérateurs sont derrière les dernières attaques Satori. les acteurs de la menace vient évolué vers ce qui est le plus branché au moment - crypto-monnaie.
"A partir de 2018-01-08 10:42:06 GMT + 8, nous avons remarqué que une variante de successeur Satori (nous nommons Satori.Coin.Robber) commencé à rétablir l'ensemble du botnet sur les ports 37215 et 52869,», A déclaré les chercheurs Netlab qui a découvert les nouvelles attaques.
Ces nouvelles attaques sont tout à fait uniques dans leur nature. La nouvelle variante Satori hacks dans divers hôtes miniers sur Internet via leur port de gestion 3333 qui exécute le logiciel Miner Claymore. Le logiciel malveillant remplace alors l'adresse de portefeuille sur les hôtes avec sa propre adresse de portefeuille. Les appareils sont le plus souvent compromis en cours d'exécution de Windows.
Les chercheurs disent que Satori.Coin.Rober actuellement activement l'exploitation minière. Le logiciel malveillant dispose également d'une puissance de calcul de la moyenne de 1606 MH / s pour les deux derniers jours. Le compte des cybercriminels a accumulé 0.1733 Ethereum en un jour.
Curieusement, l'auteur du botnet a quitté son adresse e-mail, visible dans la note suivante:
Satori dev ici, Ne vous inquiétez pas au sujet de ce bot, il ne dispose pas actuellement des fins de mise en paquet malveillants se déplacent le long. Je peux être contacté à curtain@riseup.net
Quant à la partie minière - quand un appareil de forage minier est exploité, le botnet Satori.Coin.Robber libère trois charges utiles. La première charge utile est sous la forme d'un paquet qui collecte des informations sur l'état d'exploitation de la plate-forme. La seconde charge utile remplace les adresses de portefeuille en mettant à jour le fichier reboot.bat. La dernière charge utile redémarre le dispositif hôte avec la nouvelle adresse qui conduit au vol de l'Ethereum miné par la victime.
Pour plus d'information, lire l'ensemble rapport.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: