Accueil > Nouvelles Cyber > Smominru Botnet Infects Machines With Monero Cryptocurrency Miner
CYBER NOUVELLES

Smominru Botnet Machines avec Monero infecte Miner crypto-monnaie

botnet Smominru

Les analystes de sécurité cybernétique ont découvert une attaque massive dans le monde entier portant un malware dangereux appelé le botnet Smominru. Il est capable de manipuler la configuration des hôtes compromis et a été trouvé pour installer un mineur qui Monero crypto-monnaie profite des ressources disponibles et les utilise pour générer des revenus pour les opérateurs. Lire l'analyse complète pour en savoir plus à ce sujet, ainsi que pour savoir comment vous protéger contre les menaces entrantes. Si quelqu'un éprouve les symptômes d'une infection botnet actif qu'ils peuvent utiliser notre guide d'enlèvement en profondeur Smominru pour restaurer leurs systèmes.

Smominru Botnet Attaques Surge: Source des infections

Les analystes de la sécurité informatique a détecté qu'une nouvelle attaque botnet qui a réussi à infecter des milliers de victimes dans un temps très court. À l'heure actuelle il n'y a pas d'informations sur l'identité du pirate ou collective criminelle derrière elle. Certains experts proposent que les personnes derrière ce sont un petit groupe de pirates informatiques.

Auparavant, une partie de son code a été utilisé pour propager des menaces comme Mirai ce qui en fait une arme puissante dans les mains de tous les criminels. Les échantillons obtenus mettent en valeur que les méthodes d'infection sont principalement liées à tests automatisés de pénétration. La plate-forme d'attaque peut charger divers exploits qui ciblent une large gamme d'appareils, serveurs et périphériques IdO. Selon les rapports publiés, le taux d'infections sont causées par l'augmentation de faible sécurité et des informations d'identification par défaut laissés par les propriétaires. Les effets sur serveurs de bases de données peut être particulièrement dévastateur. Ils exécutent généralement sur des serveurs Microsoft Windows et d'avoir accès à la fois à Internet et le réseau interne. Dans de nombreux cas, ils sont aussi les contrôleurs administratifs des dispositifs tels que des caméras et d'autres périphériques. Deux des exploits les plus utilisés sont les suivants:

  • EternalBlue (CVE-2017-0144) - Ceci est le bien connu utilisé couramment exploit lors des attaques ransomware WannaCry en mai 2017. Ils exploitent les vulnérabilités dans le protocole SMB qui est utilisé pour le partage de fichiers sur les versions actuelles de Microsoft Windows.
  • EsteemAudit (CVE-2017-0176) - Ceci est une faiblesse dans le code d'authentification par carte à puce utilisée dans les versions serveur de Microsoft Windows.

Selon la configuration de la menace pirate informatique déployée peut être autre chose que le botnet Smominru: ransomware, Chevaux de Troie et etc. Toutefois, les rapports indiquent clairement que la charge utile principale dans toutes les campagnes semble jusqu'à présent être le Monero mineur crypto-monnaie. Les attaques botnet Smominru victimes principalement situés dans Russie, Inde, Brésil, Taiwan et Ukraine.

histoire connexes: WannaMine - Cryptoworm que les mines Monero par la force

Smominru Botnet Analyse: Dommages rapport sur le potentiel

Nous avons pu obtenir plusieurs rapports qui mettent en valeur la façon dont le logiciel malveillant fonctionne dès que les cibles sont choisies. En comparaison avec d'autres menaces similaires, il utilise une séquence de comportement complexe de fées. Après une vulnérabilité a été détecté le code d'exploitation est automatiquement lancé qui effectue l'infiltration.

La partie suivante de l'infection par le botnet Smominru est effectuée à l'aide de scripts WMI. Ils peuvent être programmés en utilisant plusieurs langages de programmation (PowerShell et VBScript par exemple) qui télécharge et engage le principal moteur de logiciels malveillants. Il est important de noter qu'une fois le logiciel malveillant est déployé sur la victime héberge il gagne la possibilité de créer ses propres processus avec des privilèges d'administrateur. Il peut également brancher à d'autres applications automatiquement ou dans le cadre des schémas de comportement installés. Une fois que l'infection sont opérationnels un fichier de configuration de base est chargé. Elle peut varier d'une victime à et un nombre incalculable de modèles différents peuvent être impliqués. La deuxième étape a charge Module cheval de Troie Il est intéressant que les rapports à un serveur secondaire contrôlée hacker. Il existe deux approches principales à cette:

  • Le code cheval de Troie peut être contrôlé par un autre groupe, une tactique populaire qui est parfois proposé sur les forums de pirates informatiques souterraines. Les criminels peuvent planifier des intrusions très médiatisées en s'organisant en groupes - le premier prend en charge les intrusions réelles tandis que le second gère les effets qui en découlent et déployé code malveillant.
  • Si tous les composants et modèles de comportement des pirates informatiques sont les œuvres du même collectif criminel alors l'utilisation de plusieurs serveurs de pirates informatiques. Si le principal est déconnecté alors ils auront toujours la possibilité de contrôler les hôtes infectés.

L'étape suivante installe un mineur crypto-monnaie qui commence automatiquement à tirer profit des ressources matérielles disponibles. Les opérations de calcul complexes miniers de la monnaie numérique monero qui est transféré aux opérateurs en tant que bénéfices. Ceci est l'une des alternatives les plus populaires à Bitcoin et au cours des dernières semaines, nous avons vu plusieurs attaques à grande échelle qui offrent des logiciels malveillants similaires.

Une autre vague de composants logiciels malveillants peuvent suivre le botnet Smominru. La dernière vague d'ajouts peut conduire à les modifications du système. Un exemple est l'institution d'un état persistant d'exécution ce qui empêche automatiquement les tentatives de suppression de manuel utilisateur. Dans de tels cas, l'utilisation d'une solution anti-spyware qualité serait nécessaire pour éliminer les infections actives. Si seulement modifications de registre Windows sont faits les utilisateurs peuvent rencontrer les problèmes de performance et échec de l'application ou d'un service.
À l'heure actuelle, on estime que près de 500 000 les utilisateurs d'ordinateurs sont touchés par les dernières campagnes d'attaque et leur nombre augmente de façon constante. On croit que le bénéfice généré revient à 8900 Monero qui, à des montants de taux de change d'aujourd'hui à environ $2,086,409.23.

histoire connexes: Mirai-Based Masuta IdO Botnet Spreads dans une attaque dans le monde entier

Smominru Botnet Capacités cadres modulaires

Le fait que le botnet est réalisé à l'aide d'un cadre modulaire permet aux groupes criminels de créer de nouvelles mises à jour. Nous pensons que le code source peut être affichée en ligne dans le forum souterrain pirate informatique à vendre ou échangé entre les différents groupes. Les analystes notent que ce type de menace est classé comme fileless. Cela signifie que toute attaque peut être causée par des scripts qui exécutent toutes les étapes ultérieures de la mémoire de l'ordinateur hôte jusqu'à ce que la menace est installée complètement.
scans anti-virus peuvent être évités si le Module de récolte d'informations est en prise pendant les premiers actes d'intrusion. Juste après les scripts sont exécutés les pirates peuvent intégrer un modèle de comportement particulier dans la configuration de logiciels malveillants. Il est capable de scanner le système - à la fois le disque dur et la mémoire en cours d'exécution pour les informations sensibles. Il existe deux grandes catégories de données qui peuvent être décrites:

  • Données personnelles - Les pirates peuvent récolter des chaînes qui sont liés à leur identité. Le moteur logiciel malveillant est programmé pour acquérir toutes sortes d'informations relatives au nom de la victime, adresse, emplacement, préférences et même les mots de passe.
  • données anonymes - Diverses statistiques relatives à la version du système d'exploitation et les composants matériels sont collectées par le moteur.

Dans de nombreux cas, en raison de l'infection profonde des opérateurs de logiciels malveillants peuvent également récupérer des données à partir des applications installées par l'utilisateur ainsi. Un exemple populaire est le navigateur web - les pirates peuvent récolter les données stockées: histoire, signets, formulaire de données, préférences, cookies, mots de passe et les informations d'identification de compte. En utilisant les mêmes mécanismes, ils peuvent aussi imposer une Code redirection en modifiant la page d'accueil par défaut, moteur de recherche et nouvelle page onglets. Habituellement, les victimes sont redirigés vers des pages de programmes malveillants que les cookies de suivi Institut et espionner les utilisateurs.

ont été trouvés Certains des échantillons obtenus à disposer d'un protection furtive caractéristique qui peut être configuré individuellement en fonction de la campagne d'attaque. En utilisant les informations récupérées le botnet peut rechercher la présence d'un logiciel anti-virus, environnements de bac à sable et de débogage et des machines virtuelles. Ils peuvent être contournés ou supprimés et si le logiciel malveillant est incapable de le faire, il peut choisir de se donc supprimer pour éviter la détection.
Les fichiers de virus peuvent également être programmés pour infecter les Fenêtres dossier en renommant ses composants sous forme de fichiers système et de les placer là. Lorsque cela est utilisé en combinaison avec un keylogger les pirates peuvent enregistrer tous les mouvements de la souris et les frappes dans une base de données qui est transmise aux opérateurs de pirates informatiques.
Lors de l'analyse de code complet, on a découvert que certains des échantillons de logiciels malveillants produits sont signés à l'aide de certificats chinois. Il est possible que les groupes de pirates informatiques fonctionnent de la ou un de leurs serveurs se trouve là-bas.

Les utilisateurs d'ordinateurs peuvent doivent toujours être en état d'alerte pour les infections de logiciels malveillants. Une analyse libre peut révéler de tels cas et permettre une simple suppression.

Télécharger

Malware Removal Tool


Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter

avatar

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...