Il famigerato botnet Satori è stato nuovamente catturati allo stato selvatico, questa volta mira impianti di perforazione mineraria per l'criptovaluta Ethereum. I ricercatori hanno definito questa ultima iterazione Satori.Coin.Robber.
Satori è una botnet che sfrutta una falla in Huawei e un bug nei dispositivi Realtek SDK-based. Queste vulnerabilità sono state sfruttate per attaccare e infettare i computer. La botnet in sé è stato scritto in cima al devastante botnet Mirai IoT. gli operatori di Satori sfruttate solo queste due vulnerabilità di indirizzare con successo centinaia di dispositivi, I ricercatori hanno riferito.
Story correlati: Modulo proxy in Necurs botnet potrebbe portare ad attacchi DDoS
Satori operatori Passa alla Ethereum criptovaluta furto in Satori.Coin.Robber Funzionamento
Anche se i ricercatori di sicurezza si sono affrettati a rispondere agli attacchi e fermarono il server di comando e controllo nel mese di dicembre, 2017, è molto probabile che gli stessi operatori sono dietro gli ultimi attacchi Satori. attori minacce appena spostato verso ciò che è più trendy in questo momento - criptovaluta.
"A partire da 2018-01-08 10:42:06 GMT + 8, abbiamo notato che una variante successore di Satori (chiamiamo esso Satori.Coin.Robber) iniziato a ristabilire l'intero botnet sulle porte 37215 e 52869,”Ha detto i ricercatori NETlab che ha scoperto i nuovi attacchi.
Questi nuovi attacchi sono abbastanza unico nella loro natura. La nuova variante Satori hack in vari host minerarie su internet attraverso la loro porta di gestione 3333 che esegue il software Claymore Miner. Il malware sostituisce quindi l'indirizzo portafoglio sugli host con il proprio indirizzo portafoglio. I dispositivi compromessi sono per lo più in esecuzione di Windows.
I ricercatori stanno dicendo che Satori.Coin.Rober sta estraendo attivamente. Il malware ha anche una potenza media di calcolo 1606 MH / s per l'ultimo paio di giorni. Il conto dei criminali ha accumulato 0.1733 Ethereum in un giorno.
Curiosamente, l'autore della botnet ha lasciato il suo indirizzo e-mail, visibile nella successiva nota:
Satori dev qui, non fatevi allarmarsi questo bot attualmente non ha scopi malevoli packeting muovono lungo. Posso essere contattato a curtain@riseup.net
Per quanto riguarda la parte di data mining - quando un impianto di perforazione mineraria viene sfruttata, la botnet Satori.Coin.Robber rilascia tre carichi utili. Il primo carico utile è nella forma di un pacchetto che raccoglie informazioni sullo stato mineraria della piattaforma. Il secondo payload sostituisce gli indirizzi portafoglio aggiornando il file reboot.bat. L'ultimo carico si riavvia il dispositivo host con il nuovo indirizzo che conduce al furto del Ethereum estratto dalla vittima.
Per maggiori informazioni, leggere l'intero rapporto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: