Модульный червь PsMiner атакует Windows-серверы

Эксперты обнаружили модульный загрузчик PsMiner, эксплуатирующий уязвимости серверов на базе Windows и устанавливающий майнер в зараженные системы.

По данным исследователей, за две недели преступники добыли порядка 0,88 XMR, что примерно соответствует $50 по курсу на момент публикации. Эти средства они получили на кошелек, адрес которого вместе с другими настройками для программы XMRig указали в файле config.json.

Майнер на устройство жертвы устанавливает основной модуль зловреда — сценарий WindowsUpdate.ps1. Он загружается на устройство сразу после взлома. Для этого PsMiner запускает PowerShell-скрипт через командную строку. Затем скачанный файл копируется в папку Windows Temp и выполняется каждые десять минут — для этого зловред создает задание «Обновление Службы Windows» в Планировщике задач. Все это делается для того, чтобы PsMiner закрепился в системе.

За проникновение загрузчика на зараженные машины отвечает другой модуль — скрипт systemctl.exe. написанный на Go и объединяющий используемые зловредом способы взлома. Он сканирует Интернет в поисках серверов, содержащих незакрытые уязвимости:

Зловред также эксплуатирует бреши в серверном ПО Hadoop, Redis, SqlServer и ThinkPHP.

Доступ к устройствам PsMiner может получить и через брутфорс. Функция подбора паролей позволяет ему взламывать слабозащищенные учетные записи и аккаунты администраторов, оставивших пару логин/пароль по умолчанию. После взлома сервера зловред не только развертывает майнер, но и запускает модуль systemctl.exe для дальнейшего распространения загрузчика. Для защиты от PsMiner эксперты рекомендуют обновить серверное ПО и использовать надежные пароли.

Схожую атаку в декабре 2017 года обнаружили исследователи из F5 Networks. В рамках кампании Zealot криптоджекеры использовали уязвимости Linux- и Windows-серверов для установки майнера Monero. По самым скромным оценкам, в ходе кампании преступники сгенерировали токенов на $8,5 тыс.

В прошлую пятницу 8 марта прекратил работу сервис для майнинга XMR — Coinhive. На пике популярности он обеспечивал более 60% добываемой в браузерах криптовалюты. Скрипт, задуманный разработчиками как альтернатива рекламным баннерам, использовался во многих мошеннических кампаниях. По словам разработчиков, к закрытию проекта привели изменившиеся рыночные условия.

Источник: https://threatpost.ru/psminer-modular-worm-infects-servers-with-xmrig/31817/

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *