Эксперт компании Akamai  Ларри Кешдолларо (Larry Cashdollar) заметил, что злоумышленники, по всей видимости, начали ощущать нехватку Arm- и MIPS-устройств. В итоге теперь майнинговая малварь нацеливается, в том числе, на системы X86/I686 под управлением Linux.

Кешдоллар полагает, что ему удалось обнаружить некую вариацию майнингового IoT-ботента, нацеленного на корпоративные сети. Малварь ориентирована на системы на базе Intel x86 и 686 и пытается установить соединение с SSH-портом 22, представляя себя в виде архива gzip. Затем вредонос проверяет, не была ли атакуемая система заражена ранее (в этом случае установка прекращается) и не запущена ли на устройстве более ранняя версия, которую необходимо остановить.

Если все проверки пройдены, вредонос создает три разных каталога с разными версиями одних и тех же файлов. Исследователь объясняет, что каждый каталог содержит разные версии майнера XMrig v2.14.1 в 32-битном или 64-битном формате. Причем некоторые бинарники нарочно, для маскировки названы как обычные утилиты Unix, такие как ps.

В конце концов, в систему устанавливается непосредственно майнер, а также малварь модифицирует crontab, чтобы добиться устойчивого присутствия.

Специалист Akamai предполагает, что данный вредонос – дело рук операторов майнинговой малвари, которые начали ощущать дефицит Arm- и MIPS-устройств с которыми можно установить telnet-связь, и переключили свое внимание на Intel-системы.

5 комментариев

  1. Аватар

    Diflyrest

    03.09.2019 at 18:34

  2. Аватар

    LightiD

    09.09.2019 at 10:52

    Ребят у вас что так скучно в каментах, что начали туда ботов нагонять с каментами в стиле:»мда»,»да уж», «спасибо,интересно» и тд? много лет читаю сайт, и никогда таких каментов не было, либо нет, либо по делу что то,а тут прям через новость…странно

Оставить мнение