Windows-ის უსაფრთხოება: კრიპტოვალუტის მაინერის მავნე პროგრამა აქცევს კომპიუტერებს EternalBlue-ით

კრიმინალები აინფიცირებენ Windows-ის კომპიუტერებს უსასყიდლო მავნე პროგრამით, რომელიც მუშაობს მეხსიერებაში და ახორციელებს გატაცებულ კომპიუტერებს კრიპტოვალუტის მაინინგზე.

განსაკუთრებით ორი მახასიათებელი ხდის ამ მავნე პროგრამას, რომელიც ცნობილია როგორც Coinminer, "უკიდურესად ფარულად და მდგრადს", აცხადებენ მავნე პროგრამების მკვლევარები Trend Micro-ში.

Windows-ის აპარატის დასაინფიცირებლად ის იყენებს ე.წ. EternalBlue დაუცველობას, რომელსაც იყენებენ WannaCry და NotPetya, როგორც გავრცელების მექანიზმი. მაიკროსოფტმა გამოუშვა ხარვეზის პატჩი მარტში, მაგრამ ინფექციების მთელი რიგი აზიაში, ძირითადად იაპონიაში, ვარაუდობს, რომ ზოგიერთი სისტემა არ განახლებულა.

ამ შეცდომის მიმართ დაუცველ მანქანებზე მავნე პროგრამა აწარმოებს უკანა კარს, რომელიც რამდენიმეს აყენებს Windows მართვის ინსტრუმენტები (WMI) სკრიპტები, რომლებიც მუშაობს მეხსიერებაში, რაც ართულებს მათ აღმოჩენას.

IT ადმინისტრატორებს შეუძლიათ გამოიყენონ WMI სკრიპტების გასაშვებად, რომლებიც ავტომატიზირებენ ადმინისტრაციულ ამოცანებს დისტანციურ კომპიუტერებზე და შეიძინონ მართვის მონაცემები ამ კომპიუტერებიდან და დაინსტალირებული Windows აპლიკაციებიდან.

თუმცა, ამ შემთხვევაში კრიპტოვალუტის მაინინგის მავნე პროგრამა იყენებს WMI-ს უფრო მავნე მიზნებისთვის, მათ შორის თავდამსხმელის ბრძანება-კონტროლის დომენებთან დაკავშირება მაინინგის პროგრამული უზრუნველყოფის ჩამოსატვირთად და მავნე პროგრამა.

WMI მავნე პროგრამა არ არის ახალი და გამოიყენებოდა სამარცხვინო Stuxnet მავნე პროგრამაში. FireEye-საც აქვს ნაპოვნია მოწინავე ჰაკერების ჯგუფი APT29, რომელიც იყენებს WMI შესაძლებლობებს მუდმივი და ფარული უკანა კარების შესაქმნელად, სისტემის გაშვებისას უკანა კარის ავტომატურად გააქტიურებით.

Malwarebytes-მა დაადგინა, რომ WMI ტექნიკა გამოიყენება გაიტაცეს Chrome და Firefox მომხმარებლების გადამისამართება თავდასხმის საიტზე.

Trend Micro-ს თანახმად, მაინინგის მავნე პროგრამა მოიცავს ტაიმერს, რომელიც ავტომატურად ააქტიურებს მავნე WMI სკრიპტს ყოველ სამ საათში.

ადმინისტრატორებმა უნდა გამორთონ SMBv1 ფაილების გაზიარების პროტოკოლი, რათა თავიდან აიცილონ შეტევები Eternal Blue-ის გამოყენებით, SMBv1-ის ექსპლოიტი, რომელიც შექმნილია NSA-ს მიერ და გაჟონა აპრილში Shadow Brokers-ის მიერ.

ჯერ კიდევ EternalBlue-ის გაჟონვამდე და WannaCry-ის მიერ მისი მიღებამდე, Microsoft იყო მოუწოდებს მომხმარებელს შეწყვიტოს გამოყენება 30 წლიანი პროტოკოლი.

Trend Micro ასევე მიუთითებს Microsoft-ზე ხელსაწყო რომელსაც შეუძლია აკონტროლოს WMI აქტივობა და რეკომენდაციას უწევს WMI-ის შეზღუდვას საჭიროების მიხედვით, ისევე როგორც WMI-ის გამორთვა მანქანებზე, რომლებსაც არ სჭირდებათ მასზე წვდომა.

დაკავშირებული გაშუქება

ჰაკერები აძლიერებენ თავიანთ მავნე პროგრამას WannaCry და Petya გამოსასყიდი ტრიუკების კოპირებით

Trickbot-ის მხარდამჭერი ჯგუფი ცდილობს მის ტროას მავნე პროგრამას მიანიჭოს ჭიის მსგავსი შესაძლებლობები, რამაც ბოლო დროს გამოსასყიდი პროგრამების შეტევები გლობალური გახადა.

NSA-ს გაჟონილი ჰაკერული ექსპლოიტი, რომელიც გამოიყენება WannaCry გამოსასყიდში, ახლა აძლიერებს ტროას მავნე პროგრამას

EternalBlue Windows-ის უსაფრთხოების ხარვეზი გამოიყენება იმისათვის, რომ Nitol და Gh0st RAT კიბერშპიონაჟის ინსტრუმენტები უფრო ეფექტური გახდეს, აფრთხილებენ მკვლევარები.

წაიკითხეთ მეტი მავნე პროგრამის შესახებ

• ახლა კრიმინალები მიმართავენ PowerPoint ფაილებს მავნე პროგრამების გასავრცელებლად
• ეს Android საბანკო მავნე პროგრამა იპარავს მონაცემებს სმარტფონების ხელმისაწვდომობის სერვისების გამოყენებით
• Microsoft PowerPoint-ის ექსპლოიტი გამოიყენება ანტივირუსების გვერდის ავლით და მავნე პროგრამების გასავრცელებლად
• ახალი ტროას მავნე პროგრამების კამპანია მომხმარებლებს აგზავნის ყალბ საბანკო საიტზე, რომელიც ჰგავს რეალურს
• უსასყიდლო მავნე პროგრამა: შეუმჩნეველი საფრთხე (TechRepublic)
• მავნე პროგრამით სავსე ყალბი ანტივირუსი დატბორავს აპლიკაციების მაღაზიებს (CNET)