Исследователи «Доктор Веб» рассказали о новом трояне-майнере Linux.BtcMine.26, предназначенном для добычи криптовалюты Monero (XMR). Специалисты компании отмечают, что малварь для майнинга теперь появляется с завидной регулярностью, при этом создатели таких программ все чаще ориентируются на платформу Linux. Дело в том, что преуспевать злоумышленникам «помогают» производители и владельцы IoT-устройств. Такие гаджеты зачастую снабжаются крайне ненадежными паролями по умолчанию, а владельцы устройств не дают себе труда поменять учетные данные, в частности, логин и пароль администратора. Именно поэтому взлом таких устройств не представляет для преступников большой проблемы.
Схема распространения Linux.BtcMine.26 похожа на механизм заражения нашумевшего вредоноса Mirai: злоумышленники соединяются с уязвимым устройством по протоколу Telnet, подобрав логин и пароль, после чего сохраняют на нем программу-загрузчик. Затем киберпреступники запускают эту программу из терминала с помощью консольной команды, и на устройство загружается сам троян.
В настоящее время известны сборки Linux.BtcMine.26 для архитектур x86-64 и ARM. Характерными признаками присутствия майнера в системе могут служить снижение быстродействия устройства и увеличение тепловыделения в процессе его работы. Наиболее надежным методом профилактики против заражения подобной малварью является своевременное изменение установленных по умолчанию логина и пароля.
Также специалисты отмечают, что анализ загрузчика майнера выявил забавную особенность: в его коде малвари несколько раз встречается адрес сайта krebsonsecurity.com, принадлежащего известному эксперту по информационной безопасности и журналисту Брайану Кребсу (Brian Krebs).
Напомню, что Кребс — один из ветеранов инфосек-жунралистики, знаменитый своими расследованиями и разоблачениями. Благодаря собранной им информации на чистую воду удалось вывести не одну хакерскую группировку. При этом он не только не стесняется передавать собранную им информацию в руки правоохранительных органов, но также публикует в своем блоге масштабные разоблачения, деанонимизируя преступников и пошагово рассказывая, как ему удалось это сделать. По всей видимости, авторы трояна Linux.BtcMine.26 за что-то недолюбливают Брайана Кребса, и они совсем не одиноки в своих чувствах.
Киберпреступники пытаются отомстить журналисту уже много лет. Так, домой к Кребсу уже присылали отряд спецназа, брали от его имени кредит на $20 000, перечисляли $1000 на его счет PayPal с украденной платежной карты, а сам PayPal-аккаунт компрометировали не раз, и даже пытались перевести деньги со счета Кребса террористу запрещенной в России организации ДАИШ. Также стоит сказать, что авторы вредоносного ПО не первый раз упоминают Брайана Кребса в коде своих программ.
