暗号マイニングマルウェアは、ランサムウェアを最大のサイバー脅威として非難しました, そしてそのようなものとして, それは急速に進化しています. そうは言っても, 盗まれたNSAエクスプロイトを使用し、セキュリティ機能を無効にするPythonベースのMoneroマイナーが、セキュリティ研究者によって発見されました.
「「の 2016, Shadow Brokersと名乗るグループは、EquationGroupとして知られる脅威アクターに起因する多数のハッキングツールとゼロデイエクスプロイトを漏洩しました。, 国家安全保障局と結びついているグループ (NSA) 量子インジェクション攻撃ユニット,」フォーティネットの研究者 言った. 4月の後半 2017, ハッカーは、ETERNALBLUEやETERNALROMANCEなどのいくつかの武器化されたエクスプロイトをリリースしました.
2つのエクスプロイトは、WindowsバージョンXP / Vista / 8.1/7/10とWindowsServerを対象としています。 2003/2008/2012/2016. すなわち, これらのエクスプロイトはCVE-2017-0144とCVE-2017-0145を利用しました, MS17-010セキュリティ情報でパッチを適用.
どうやら, ETERNALBLUEエクスプロイトは現在、Adylkuzzなどの暗号化マルウェアで利用されています, SmominruとWannaMine, 研究者は発見した. 暗号化マルウェアの新しい部分はPyRoMineと呼ばれていました. 研究者は、PyInstallerを使用した実行可能ファイルを含むzipファイルにつながる疑わしいURLに到達した後、マルウェアに遭遇しました。.
これは、フォーティネットのJasperManuelが新しいマルウェアの発見に関して共有したものです。:
私はもともと悪意のあるURLhxxpに出くわしました://212.83.190.122/このマルウェアをzipファイルとしてダウンロードできるserver/controller.zip. このファイルには、PyInstallerでコンパイルされた実行可能ファイルが含まれています, これは、Pythonで記述されたプログラムをスタンドアロンの実行可能ファイルにパッケージ化するプログラムです。. これは、Pythonプログラムを実行するためにマシンにPythonをインストールする必要がないことを意味します.
Pythonスクリプトとそれが使用するパッケージを抽出して分析するため, 研究者はPyInstallerdubbedpyi-archive_viewerのツールを利用しました. pyi-archive_viewerを使用する, 彼はメインファイルを抽出することができました, 「コントローラー」という名前。
PyRoMineは、以前に漏洩したNSAエクスプロイトを使用して、コンピューター間でのさらなる配布を支援する最初の暗号マイナーではありません。. このエクスプロイトにMicrosoftパッチを適用していないWindowsシステムは、PyRoMineおよび同様のマルウェアに対して脆弱です。.
このマルウェアは、暗号通貨マイニングにマシンを使用するだけでなく、本当の脅威です, ただし、RDPサービスを開始し、セキュリティサービスを無効にするため、将来の攻撃に備えてマシンを開きます。, 研究者は指摘した. CVE-2017-0144およびCVE-2017-0145の脆弱性に対するMicrosoftのパッチをダウンロードしていないユーザーは、 ここ.
加えて, ユーザーは、マルウェア対策ソフトウェアを導入して、あらゆる形態のマルウェアからシステムを保護する必要があります.
SpyHunterスキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: