De beruchte Satori botnet is opnieuw in het wild gevangen, deze keer gericht rigs mijnbouw voor de Ethereum cryptogeld. De onderzoekers nagesynchroniseerde deze nieuwste iteratie Satori.Coin.Robber.
Satori is een botnet dat een fout in Huawei en een bug in Realtek SDK-gebaseerde apparaten uitbuit. Deze kwetsbaarheden zijn benut om aan te vallen en te infecteren computers. Het botnet zelf werd op de top van de verwoestende Mirai ivd botnet geschreven. operators Satori's uitgebuit alleen deze twee kwetsbaarheden om met succes richten op honderden apparaten, onderzoekers rapporteerden.
Verwante Story: Proxy Module in Necurs botnet kan leiden tot het DDoS-aanvallen
Satori Operators Switch to Ethereum cryptogeld diefstal in Satori.Coin.Robber operatie
Hoewel veiligheid onderzoekers waren er snel bij om te reageren op de aanvallen en stopte de command and control-server in december, 2017, het is zeer waarschijnlijk dat de dezelfde operatoren zijn achter de laatste Satori aanslagen. Bedreiging acteurs gewoon verschoven naar wat is de meest trendy op dit moment - cryptogeld.
"Beginnend vanaf 2018-01-08 10:42:06 GMT + 8, we hebben gemerkt dat een Satori opvolger variant (we noemen dat Satori.Coin.Robber) begonnen met het hele botnet op de poorten te herstellen 37215 en 52869,”Zei NetLab onderzoekers die de nieuwe aanvallen ontdekt.
Deze nieuwe aanvallen zijn vrij uniek in hun aard. De nieuwe Satori variant hackt verschillende mijnbouw hosts op het internet via hun beheers- poort 3333 die loopt de Claymore Miner software. De malware vervangt dan de portemonnee adres op de gastheren met een eigen portemonnee adres. De besmette apparaten worden meestal met Windows.
Onderzoekers zeggen dat Satori.Coin.Rober momenteel actief mijnbouw. De malware heeft ook een gemiddelde rekenkracht van 1606 MH / s voor de laatste paar dagen. De rekening van de cybercriminelen heeft opgelopen 0.1733 Ethereum in een dag.
Merkwaardig genoeg, de auteur van het botnet heeft zijn e-mailadres links, zichtbaar in de volgende noot:
Satori dev hier, dont gealarmeerd over dit bot het heeft momenteel geen kwaadaardige verpakkingsmachine doeleinden meebewegen. Ik kan gecontacteerd worden op curtain@riseup.net
Als voor de mijnbouw deel - wanneer een mijnbouw tuig wordt geëxploiteerd, de Satori.Coin.Robber botnet brengt drie payloads. De eerste nuttige lading in de vorm van een pakket dat informatie verzamelt over de winning toestand van de installatie. De tweede lading vervangt de portemonnee adressen door aanpassing van de reboot.bat bestand. De laatste payload herstart het ontvangende apparaat met het nieuwe adres die leidt tot de diefstal van de Ethereum bepaald door het slachtoffer.
Voor meer informatie, Lees het hele rapport.