Cryptomining malware heeft ransomware onttroond als de nummer een cyberdreiging, en als zodanig, Het wordt snel evoluerende. Dat gezegd zijnde, a-Python gebaseerde Monero mijnwerker met behulp van gestolen NSA exploits en uitschakelen beveiligingsfuncties is ontdekt door security onderzoekers.
"In 2016, een groep die zichzelf de Shadow Brokers lekte een aantal van hacking-tools en zero-day exploits toegeschreven aan de dreiging acteurs bekend als de Equation Group, een groep die is gebonden aan de National Security Agency's (NSA) Tailored Access Operations unit,”Fortinet onderzoekers zei. Later in april 2017, de hackers vrijgegeven diverse weaponized exploits zoals Eternalblue en ETERNALROMANCE.
De twee exploits waren gericht op Windows-versies XP / Vista / 8.1 / 7/10 en Windows Server 2003/2008/2012/2016. Specifieker, deze exploits maakte gebruik van CVE-2017-0144 en CVE-2017-0145, opgelapt met de MS17-010 beveiligingsbulletin.
Blijkbaar, de Eternalblue exploit wordt nu gebruikt in cryptomining malware zoals Adylkuzz, Smominru en WannaMine, onderzoekers ontdekten. Het nieuwe stuk van cryptomining malware werd gesynchroniseerd PyRoMine. Onderzoekers kwam over de malware na de landing op een verdachte URL die hebben geleid tot een zip-bestand met daarin een uitvoerbaar met PyInstaller.
Dit is wat Jasper Manuel van Fortinet gedeeld op het gebied van het ontdekken van de nieuwe malware:
Ik kwam oorspronkelijk op de kwaadaardige URL hxxp://212.83.190.122/server / controller.zip waar malware kunnen worden gedownload als een zip-bestand. Dit bestand bevat een uitvoerbaar bestand gecompileerd met PyInstaller, dat is een programma dat programma's geschreven in Python in de stand-alone executables pakketten. Dit betekent dat er geen noodzaak om Python op de computer installeren om de Python-programma uit te voeren.
Om te extraheren en analyseren van de Python-script en de pakketten die het gebruikt, De onderzoeker gebruikte hulpmiddel bij PyInstaller dubbedpyi-archive_viewer. Met behulp van Pyi-archive_viewer, hij was in staat om de belangrijkste bestand uit te pakken, de naam “controller.”
PyRoMine is niet de eerste cryptominer die eerder gelekte NSA exploits gebruikt om hun verdere verdeling over computers te helpen. Elk Windows-systeem dat niet de Microsoft patch heeft aangevraagd voor de exploit is kwetsbaar voor PyRoMine en soortgelijke malware stukken.
Deze malware is een reële bedreiging omdat het niet alleen gebruik van de machine voor cryptogeld mijnbouw, maar het opent ook de machine op eventuele toekomstige aanvallen, omdat het begint RDP diensten en schakelt veiligheidsdiensten, de onderzoeker genoteerd. Gebruikers die geen patch van Microsoft voor de CVE-2017-0144 en CVE-2017-0145 kwetsbaarheid hebt gedownload moet het zo snel mogelijk uit te doen hier.
Bovendien, gebruikers moeten anti-malware software inzetten om hun systemen te beschermen tegen alle vormen van malware.
SpyHunter scanner vindt u alleen de dreiging. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: