Cryptomining malware è detronizzato ransomware come la minaccia numero uno di cyber, e come tale, esso è in rapida evoluzione. Detto, un minatore Monero Python-based utilizzando exploit NSA rubate e le caratteristiche di sicurezza invalidanti è stato scoperto da ricercatori di sicurezza.
"In 2016, un gruppo che si fanno chiamare i mediatori ombra trapelare un certo numero di strumenti di hacking ed exploit zero-day attribuiti agli attori minaccia nota come Gruppo equazione, un gruppo che è stato legato alla sicurezza nazionale Agency (NSA) Unità Tailored accesso Operations,”ricercatori Fortinet disse. Più tardi nel mese di aprile 2017, gli hacker pubblicato diversi exploit come ETERNALBLUE e ETERNALROMANCE dotate di armi.
I due exploit avevano lo scopo di versioni di Windows XP / Vista / 8,1 / 7/10 e di Windows Server 2003/2008/2012/2016. Più specificamente, questi exploit hanno approfittato di CVE-2.017-0.144 e 2.017-0.145 CVE-, patchato con il bollettino MS17-010 di sicurezza.
Apparentemente, l'ETERNALBLUE exploit viene ora utilizzato in cryptomining malware come Adylkuzz, Smominru e WannaMine, ricercatori hanno scoperto. Il nuovo malware è stato soprannominato cryptomining PyRoMine. I ricercatori sono imbattuto il malware dopo l'atterraggio su un URL sospetto che ha portato a un file zip contenente un eseguibile con PyInstaller.
Questo è quello che Jasper Manuel da Fortinet ha condiviso in termini di scoperta del nuovo malware:
Originariamente ho sono imbattuto il hxxp URL dannoso://212.83.190.122/Server / controller.zip dove questo malware può essere scaricato come file zip. Questo file contiene un file eseguibile compilato con PyInstaller, che è un programma che i pacchetti di programmi scritti in Python in eseguibili stand-alone. Questo significa che non v'è alcuna necessità di installare Python sulla macchina, al fine di eseguire il programma Python.
Al fine di estrarre e analizzare lo script Python ed i pacchetti che utilizza, il ricercatore ha utilizzato un utensile in PyInstaller dubbedpyi-archive_viewer. Utilizzando PYI-archive_viewer, fu in grado di estrarre il file principale, denominato “controllore”.
PyRoMine non è la prima cryptominer che utilizza exploit NSA precedentemente trapelate per aiutare la loro ulteriore distribuzione su più computer. Qualsiasi sistema di Windows che non ha applicato la patch di Microsoft per l'exploit è vulnerabile a PyRoMine e pezzi di malware simili.
Questo malware è una minaccia reale in quanto non solo usa la macchina per l'estrazione criptovaluta, ma apre anche la macchina per eventuali futuri attacchi dal momento che avvia i servizi RDP e disabilita i servizi di sicurezza, il ricercatore ha osservato. Gli utenti che non hanno scaricato la patch di Microsoft per i CVE-2017-0144 e CVE-2017-0145 vulnerabilità dovrebbero farlo il più presto possibile da qui.
In aggiunta, gli utenti devono installare un software anti-malware per proteggere i loro sistemi contro tutte le forme di malware.
scanner SpyHunter rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: