minatori Monero sono uno dei più popolari del malware criptovaluta correlati che vengono distribuiti nelle campagne di attacco negli ultimi mesi. Le strategie degli hacker sembrano per includerli in un sacco di diversi tipi di tentativi di infiltrazione. Tuttavia le ultime campagne di attacco sembrano concentrarsi su un nuovo tipo di tattica utilizzando doppie minatori Monero insieme contro le reti di computer in tutto il mondo.
Le campagne di attacco con Minatori doppio Monero Spotted
ricercatori di sicurezza di computer e gli analisti sono costantemente ricevendo i rapporti per le campagne di attacco in corso che caratterizzano i minatori criptovaluta come carichi primari o secondari. Essi sono diventati popolari come solo bisogno di un piccolo script per essere caricato in memoria, al fine di avviare i calcoli complessi. I minatori eseguire uno speciale software che utilizzano le risorse hardware disponibili al fine di generare criptovaluta che viene inviata agli operatori criminali. La maggior parte delle minacce miniera per le cryptocurrencies più popolari: Bitcoin, Monero e Ethereum.
Al momento un nuovo tipo di campagne di attacco viene impostata contro le reti di computer in tutto il mondo. I criminali sono principalmente di mira i server di database utilizzando una vulnerabilità scoperta. Il problema individuato è CVE-2.017-10.271 che è descritta nel modo seguente advisotry:
Una vulnerabilità nel componente di Oracle WebLogic Server di Oracle Fusion Middleware (sottocomponente: WLS Sicurezza). Le versioni supportate che vengono colpiti sono 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 e 12.2.1.2.0. Facilmente vulnerabilità sfruttabili permette malintenzionato non autenticato con accesso alla rete tramite T3 compromettere Oracle WebLogic Server. attacchi di successo di questa vulnerabilità può causare acquisizione di Oracle WebLogic Server. CVSS 3.0 Punteggio Base 7.5 (Disponibilità impatti). Vector CVSS: (CVSS:3.0/DI:N / AC:L/PR:N / UI:N / S:U / C:N / I:N / A:H).
Gli hacker utilizzano codice exploit che viene spesso utilizzato con toolkit di hacker automatizzati e piattaforme. Utilizzando i comandi automatici i criminali possono indirizzare migliaia di reti in un modo di secondi. Come risultato della vulnerabilità sfrutta i criminali possono ottenere l'accesso alla rete ai server, così come la capacità di prendere il controllo dei sistemi. Il fatto interessante è che, mentre gli attacchi tradizionali in genere si concentrano sul sorpasso il controllo dei server impattato questo li infetta con doppi minatori Monero.
I minatori Payload doppio Monero e il suo significato
La tattica di usare doppie minatori Monero è nuovo in quanto viene utilizzato in un modo non tradizionale. Dopo le macchine sono stati influenzati dal codice exploit due software minatore separati istituita sui dispositivi vittima. La prima è una versione a 64 bit che è l'opzione predefinita e la variante di backup è un eseguibile compilato a 32 bit. Se il primo file non si avvia poi gli attaccanti istruiscono il malware per avviare l'opzione di backup. Analizzando le campagne gli esperti di sicurezza hanno scoperto che le diverse versioni del codice di exploit sono in corso diffusione - ci sono versioni di prova e finale separati. Ciò significa che l'hacker individuale o collettiva criminale dietro gli attacchi sono attivamente coinvolti nel suo sviluppo in corso.
Monero modello Minatori Esecuzione
Le infezioni iniziano dopo la verifica di vulnerabilità è passato. Lo script di malware scarica tre file relativi alle operazioni di estrazione per le macchine compromesse:
- Javaupd.exe - Un esempio minatore che viene mascherato come un aggiornamento per l'ambiente runtime Java (JRE) che viene spesso installato da utenti di computer, al fine di eseguire le applicazioni basate su Java. Rappresentando l'applicazione popolare il virus rende più difficile la scoperta come in alcuni casi il servizio possono utilizzare più risorse hardware durante la sua esecuzione.
- STARTUP.CMD - Questo è il modulo di auto-start, che è responsabile per la stato persistente di esecuzione. Viene utilizzato per avviare automaticamente il codice malware e impedire altre applicazioni interferiscano con i minatori.
- 3.exe - Un'istanza dannoso secondaria.
La componente auto-start associata con i minatori Monero viene posizionato sul sistema nella cartella Esecuzione automatica. Dopo di che viene eseguito e inizia un comando Powershell che crea due operazioni pianificate:
- Il primo compito scarica le ultime versioni delle istanze minatore Monero da un sito di hacker controllato. La stringa mostra che il compito è chiamato come “Oracle Aggiornamento Java” ed è impostato per eseguire ogni 80 minuti al fine di negare eventuali problemi di rete.
- Il secondo compito è chiamato “Oracle Java” ed è impostato per eseguire tutti i giorni e verificare se il primo compito è stato completato con successo.
Dopo che i compiti sono stati completa dello script di controllo lancia lo script appropriato eseguendo il payload secondario (3.exe). Esso controlla se il sistema è in grado di eseguire la versione a 64-bit o 32-bit del codice e poi scarica ed esegue il file in questione. Un nuovo file viene scaricato che si chiama LogonUI.exe che è registrato come un servizio di Windows e ha chiamato “Microsoft telemetria”. La versione appropriata (32 o 64-bit) viene caricato durante questa fase di apertura del malware.
Conseguenze dei minatori doppio Monero
Gli esperti di sicurezza di notare che i minatori Monero installati possono avere un forte impatto sulla performance del computer della vittima. Come due istanze separate sono installati sui padroni di casa le vittime potrebbero non essere in grado di rimuovere tutti loro in modo efficiente. Ricordiamo ai nostri lettori che il persistente stato di installazione può anche essere correlato a cambiamenti nel registro di Windows e le opzioni di configurazione del sistema operativo. Tali alterazioni possono rendere molto difficile o addirittura impossibile la rimozione delle infezioni con metodi manuali. Gli analisti della sicurezza di notare che i minatori Monero dispone di una raccolta di informazioni modulo che ha la capacità di scansionare i padroni di casa infettati per altri tipi di malware, nonché.
Come le campagne di attacco sono ancora in corso e l'identità dei criminali è ancora sconosciuto. Abbiamo il sospetto che le versioni aggiornate possono portare funzionalità aggiuntive, causare ancora più pericolose modifiche del sistema e può essere utilizzato anche come meccanismi di erogazione payload.
Ricordiamo ai nostri lettori che essi possono proteggersi dal pericolo, utilizzando una soluzione di qualità anti-spyware.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: