Godinu dana nakon što su ranjivosti procurile, napadači još uvijek koriste procurjele NSA alate za pokretanje novih napada - ovaj put s novootkrivenim PyRoMineom.
Vidi također
Ovaj malware za Android zarazio je 85 milijuna uređaja i svojim kreatorima zarađuje 300.000 dolara mjesečno
Banda koja stoji iza zlonamjernog softvera zarađuje na lažnim aplikacijama -- ali ako odluče iskoristiti svoj doseg za krađu, korporacije bi se mogle izložiti opasnosti.
Čitaj SADNovi oblik zlonamjernog softvera za rudarenje kriptovaluta koristi procurilo NSA-iskorištavanje kako bi se proširio na ranjive Windows strojevima, dok također onemogućuje sigurnosni softver i ostavlja zaraženo računalo otvorenim za budućnost napadi.
Zlonamjerni Monero rudar temeljen na Pythonu je otkriven istraživači sigurnosne tvrtke Fortinet koji su ga prozvali PyRoMine. Prvi put se pojavio ovaj mjesec i širi se pomoću EternalRomance, procurila je eksploatacija NSA-e koji iskorištava ono što je do prije godinu dana bila neobjavljena ranjivost malih i srednjih poduzeća za samopropagiranje kroz mreže.
EternalRomance pomogao je u širenju ransomwarea BadRabbit i na mnogo je načina sličan EternalBlueu, druga procurila eksploatacija NSA-e što je pomoglo gorivu WannaCry i Ne Petya. Oba exploita traže javne SMB priključke, što im omogućuje isporuku zlonamjernog softvera mrežama.
Istraživači su otkrili da se zlonamjerni softver može preuzeti s određene web adrese kao zip datoteka, u paketu s Pyinstallerom, programom koji paketira programe napisane u Pythonu u samostalne izvršne datoteke, što znači da nema potrebe da se Python instalira na kompromitiranu mašina.
Čini se da je zlonamjerni kod iza PyRoMinea izravno kopiran iz javno dijeljene implementacije EternalRomance.
Vidi također: Zlonamjerni softver za rudarenje kriptovaluta: zašto je to takva prijetnja i kamo dalje ide
Jednom kada korisni teret PyRoMine stigne do stroja, preuzima se zlonamjerni VBScript koji omogućuje Remote Desktop Protocol (RDP) za omogućavanje širenja uz pomoć dodavanja pravila vatrozida koje dopušta promet na RDP portu 3389.
Osim toga, zlonamjerni softver također zaustavlja Windows ažuriranja i dopušta prijenos nešifriranih podataka.
Onemogućavanje sigurnosnog softvera omogućuje napadačima potencijalno isporučivanje dodatnog zlonamjernog softvera, ako to učine na kraju se odmaknu od rudara kriptovalute, koji se preuzima nakon manipulacije RDP. Rudar je registriran kao usluga pod nazivom "SmbAgentService" datotekom "svchost.exe."
Nakon što se pokrene na sustavu, zlonamjerni rudar će koristiti snagu stroja za rudarenje za Monero - posebno odabrano jer može se rudariti običnim računalima i pruža dodatnu privatnost korisnicima.
Trenutno PyRoMine nije široko rasprostranjen i svojim autorima nije zaradio mnogo novca, ali sam broj strojevi u divljini koji još uvijek nisu zakrpani protiv EternalRomancea znači da postoji puno potencijalnih meta Tamo vani. Drugi razlog zašto se nije proširio je to što su autori još uvijek u fazi testiranja.
Vidi također: Što je malware? Sve što trebate znati o virusima, trojancima i zlonamjernom softveru
"Prvi put smo počeli vidjeti ovaj zlonamjerni softver u travnju 2018. i čini se da se još uvijek poboljšava, što bi moglo biti razlog zašto njegova zarada trenutno nije velika", rekao je Jasper Manuel, sigurnosni istraživač u Fortinetu.
Zakrpa za zaštitu sustava od procurjelih NSA hakerskih alata objavljena je prije više od godinu dana, ali postoje mnogi Windows strojevi koji nisu primili zakrpu i ostaju ranjivi na napade.
Dok je PyRoMine nije prvi zlonamjerni softver za kriptovalute do širiti putem alata za hakiranje curenja informacija, dodatna šteta koju bi mogao učiniti onesposobljavanjem sustava i sigurnosnog softvera mogla bi dovesti do toga da u budućnosti postane mnogo opasniji.
"Ovaj zlonamjerni softver je stvarna prijetnja jer ne samo da koristi stroj za rudarenje kriptovalute, već također otvara stroj za moguće buduće napade budući da pokreće RDP usluge i onemogućuje sigurnosne usluge", rekao je Manuel.
"Zlonamjerni softver robe nastavit će koristiti eksploatacije NSA-e kako bi ubrzao svoju sposobnost ciljanja ranjivih sustava i zaradio više profita", dodao je.
Rudarenje kriptovaluta postalo je popularan način zarade novca za cyber-lopove, s uspješnim napadima tijekom dugog vremenskog razdoblja jer je zlonamjerni softver suptilan i ostaje skriven. Priča se da je ova tehnika jako popularna među kibernetičkim kriminalcima da je sada unosan kao i ransomware.
PROČITAJTE VIŠE O KIBERKRIMINALU
- Ovaj ransomware je ponovno napisan za rudarenje kriptovalute - i uništavanje vaših datoteka
- Crv 'Doomsday' koristi sedam NSA exploita (WannaCry je koristio dva) [CNET]
- Haker protiv hakera: Ovaj zlonamjerni softver za kriptovalute ubija svoje rivale kako bi osigurao maksimalan profit
- Gadni botnet koristi eksploataciju WannaCry za rudarenje kriptovalute s vaših poslužitelja [TechRepublic]
- Windows sigurnost: Microsoft se bori protiv masovne epidemije zlonamjernog softvera rudara kriptokovanica