PyCryptoMiner Doelen Linux Machines naar de mijne voor Monero

PyCryptoMiner Doelen Linux Machines naar de mijne voor Monero

WaterMiner Monero Miner

Een Linux-gebaseerde Currency Miner botnet, die is gesynchroniseerd PyCryptoMiner is ontdekt door security onderzoekers. Het botnet, die is gebaseerd op een cryptogeld mijnwerker heeft verdiend cybercriminelen ten minste 158 Monero wat neerkomt op $63,000.

PyCryptoMiner is geschreven in Python die het mogelijk heeft gemaakt voor de uitoefening van het botnet om het onder de radar te houden.

"In tegenstelling tot een binaire malware alternatief, een scripttaal-gebaseerde malware is ontwijkend door de natuur als het gemakkelijk kan worden versluierd. Het wordt ook uitgevoerd door een legitieme binaire, die een van de Perl / Python / Bash / Go / PowerShell tolken geleverd met bijna elke Linux / Windows-distributie zou kunnen zijn,”Onderzoekers van F5 Networks zei in hun rapport.

Verwante Story: CryptoLoot Coinhive Monero Miner - Hoe te verwijderen van uw pc

PyCryptoMiner Technische Details

Wie is de bediening van deze botnet maakt ook gebruik van brute-force aanvallen op Linux-systemen met zichtbare SSH poorten. In het geval dat het wachtwoord vervolgens ontdekt dat cybercriminelen implementeren Python scripts en installeer de Monero mijnwerker malware.

Onderzoekers geloven ook dat cybercriminelen ook gebruik van een exploit voor de JBoss-server in hun campagne die is geïdentificeerd als CVE-2017-12.149. Echter, het inzetten van brute-force en het benutten van SSH behoren ook cybercriminelen aanval arsenaal.

Wat interessant is, is dat de PyCryptoMiner botnet heeft geen hard-coded adressen van de command and control servers omdat het hen ontvangt van Pastebin berichten. De botnet kan ook werken als een scanner knooppunt zin dat scant het internet voor Linux machines met open SSH poorten, en probeert de SSH logins raden. In geval van een succes, de malware gebruikt een eenvoudige-base64 speerpunt Python-script die aansluit op de command and control-server om meer Python code uit te voeren, onderzoekers zei. Het script zelf is gepositioneerd in de hoofdregelaar bot en kan de volgende activiteiten:

  • Steeds aanhoudende op de besmette machine door zich als een cron job ( een time-based job scheduler in Unix-achtige besturingssystemen);
  • Het verzamelen van informatie over de getroffen machine, zoals informatie over het aantal CPU's.
  • De verzamelde informatie wordt typisch gestuurd naar de command and control-server.
Verwante Story: WaterMiner Monero Miner is de nieuwste cryptogeld Malware

PyCryptoMiner Botnet Activity

Blijkbaar, het botnet is momenteel inactief, zoals de servers offline. Niettemin, dit betekent niet dat het niet zal worden geactiveerd in nieuwe kwaadaardige en crypto mijnbouw campagnes. Als het botnet operator werkt de pastebin berichten te wijzen op een nieuwe command and control-server, dan is de botnet kan snel online worden teruggebracht.

Zoals reeds gezegd, de botnet is ook ontworpen om graven benutten mogelijkheden CVE-2017-12.149, een recent beschreven kwetsbaarheid. Dit betekent dat kwetsbare JBoss servers het volgende doelwit van de kan PyCryptoMiner.

Milena Dimitrova

Een geïnspireerde schrijver, gericht op de privacy van gebruikers en kwaadaardige software. Geniet ‘Mr. Robot’ en angsten ‘1984’.

Meer berichten - Website

3 Reacties

  1. Linux User

    This is hardly a malware. If you get access to the machine, you can do a lot of things other than just running a mining script.

    1. Vencislav Krustev

      Hallo, yes, but it all comes down to who configured it. Some malware authors often aim to embed legitimate miners in malware applications and add otherthingsthat the malware does. These are functions, that help it to propagate as well as self-update, copy itself and remain obfuscated.

    2. Martin Beltov

      As it is stated in the article the miner is part of an extensive Python that is modular in nature. As a consequence the hacker operators can execute a variety of malware behaviour.

      Due to the recent rise of miners it is important for us to track all current events.

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...