AT&T проанализировала работу скрытого майнера Monero, заражающего почтовые серверы
Подразделение телекоммуникационной компании AT&T Alien Labs проанализировало распространение вредоносной программы для скрытого майнинга Monero, которая внедряется на почтовые серверы.
В опубликованном на этой неделе отчете исследователя в области безопасности Фернандо Домингеса (Fernando Domínguez) подробно рассказывается о том, как вредоносная программа для скрытого майнинга распространяется на уязвимых серверах Exim, Confluence и WebLogic. Программа устанавливает вредоносный код, который добывает Monero через прокси-сервер. По данным ZDNet, серверы Exim представляют более половины всех почтовых серверов.
Сначала вирус внедряет на сервер BASH-скрипт, который проверяет наличие конкурирующих процессов майнинга и прекращает их, прежде чем проникнуть на другие устройства в сети. Согласно отчету F5, криптовалютные майнеры часто прекращают другие процессы майнинга при заражении системы, чтобы по максимуму использовать устройство. Затем на взломанные серверы загружается вредоносное ПО на основе программы для скрытого майнинга Monero XMRig.
XMRig, доступная для скачивания на GitHub, уже давно стала фаворитом у хакеров. Именно она использовалась за основу вируса-майнера, который заразил более 500 000 компьютеров с Mac OS в 2017 году. По данным специалистов Alien Labs, модифицированный майнер работает через прокси-сервер, что делает отслеживание добытых криптовалют или определение адреса кошелька практически невозможным без доступа к прокси-серверу.
При загрузке программы также загружается и другой файл с именем Sesame, идентичный оригинальному BASH-скрипту. Это ключ к устойчивости вируса: он подключается к задаче планировщика с пятиминутным интервалом, что позволяет ему противостоять попыткам уничтожения и выключениям системы. Он может также автоматически обновляться до новых версий.
Alien Labs начала исследовать вирус в июне 2019 года. Ранее аналогичные исследования были проведены компанией Lacework. Специалисты пока не знают, насколько широко распространен этот безымянный майнер. В отчете Alien Labs отмечается, что «сложно оценить, какой доход эта кампания принесла тем, кто ей управляет», но, скорее всего, он «не очень значителен».
Источник: bits.media