Устройства под Linux и Android массово заражают майнерами криптовалюты

0
850

Червь и Monero

Недавно выявленный ботнет Gitpaste-12, обладающий
функциями интернет-червя, снова активизировался и пополнил свой арсенал
атакуемых уязвимостей. Основной его «добычей» служат устройства под управлением
Android и Linux. Ботнет также активно
заражает устройства интернета вещей.

Червь Gitpaste-12 распространяется
через GitHub;
его вредоносные компоненты хостятся на Pastebin. Первая его версия, обнаруженная в октябре 2020
г., способна была эксплуатировать 12 известных уязвимостей.

Вторая итерация, которая
эксплуатирует уже более 30 уязвимостей, была выявлена 10 ноября экспертами
компании Juniper ThreatLabs.
Изначально они нашли репозиторий в GitHub, содержавший лишь три файла — криптомайнер под Linux, список паролей для
брутфорса и интерпретатор неизвестного происхождения, написанный на Python 3.98.

Устройства под Linux и Android массово заражают майнерами криптовалюты

Червь-ботнет оснастили тремя десятками эксплойтов

Позднее к ним добавились
файл настроек для криптомайнера Monero (config.json), а также эксплойт для повышения привилегий в
среде Linux,
запакованный UPX.

ЧИТАТЬ ТАКЖЕ:  Экс-главу спецслужбы арестовали по делу «питерских» связистов

Новая версия Gitpaste-12, попав на целевую
систему, сразу же скачивает вредоносные компоненты, в том числе, криптомайнер и
бэкдор, после чего начинает атаковать веб-приложения, соединения AndroidDebugBridge и устройства интернета
вещей, включая роутеры и IP-камеры.

Чужой бэкдор? Подойдет

Эксперты отметили, что новая
версия червя знает как минимум 31 уязвимость, и только семь из них уже
наблюдались в предыдущей версии. Интересной особенностью является также то, что
вредонос пытается эксплуатировать уже существующие бэкдоры, которые могли быть установлены
другими вредоносами.

Червь пользуется
уязвимостями в таких опенсорсных пакетах как JBossSeam 2, CutePHP, mongo-express, Pi-hole и FuelCMS; жертвами также может становиться коммерческий
пакет vBulletin
и некоторые другие.

В Gitpaste-12 также встроен червь под Unix — X10-unix, который и атакует приложение Android Debug Bridge через порт 5555,
пытаясь загрузить на устройства под Android вредоносный двоичный файл blu и пакетный файл APK. Этот файл, установившись, публикует на Pastebin IP-адрес зараженного устройства
и скачивает дополнительные вредоносные компоненты. К настоящему моменту
известно о заражении минимум 100 различных хостов.

ЧИТАТЬ ТАКЖЕ:  Легендарный телефон Nokia едва не убил подростка

«Прошивки IoT-устройств кишат
уязвимостями, вдобавок баги в популярном опенсорсном и коммерческом ПО, в том
числе, веб-приложениях, могут оставаться неисправленными годами. Все это создает
весьма благодатную почву в том числе и для червей, — отмечает Анастасия Мельникова, эксперт по
информационной безопасности компании SEC Consult Services. — Операторы криминальных криптомайнеров всегда
заинтересованы в том, чтобы заразить как можно большее количество оборудования
своими вредоносами с наименьшими усилиями. Появление чего-то подобного Gitpaste-12 — совершенно
закономерно и нельзя исключать, что его библиотека эксплойтов будет продолжать
расти».

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь