Вредонос Mal/Miner-C генерирует 2,5% всей майнинговой активности Monero

Троян Mal/Miner-C написан на NSIS (Nullsoft Scriptable Install System), который заражает и использует для дальнейшего распространения устройства NAS (network-attached storage), а затем майнит валюту Monero.

Специалисты компании Sophos изучили свежую версию Mal/Miner-C, который также известен под именем PhotoMiner и уже был знаком им ранее, сообщает xakep.ru.

Еще в июне 2016 года стало известно, что вредонос атакует уязвимые FTP-серверы, брутфорсом подбирая учетные данные, а затем использует зараженные устройство как платформу для дальнейшего распространения.

Свежая версия Mal/Miner-C обладает похожей функциональностью: один из ее компонентов (tftp.exe) генерирует случайные IP-адреса и пытается соединиться с ними, используя список дефолтных логинов и паролей. Установив соединение с FTP-сервером, вредонос копирует себя в новое место, а также модифицирует на сервере файлы .html и .php, внедряя в них iframe для последующего распространения. Когда зараженную веб-страницу посещают пользователи, их спрашивают, не желают ли они сохранить и запустить некий файл? Если жертва соглашается, Mal/Miner-C проникает в систему и начинает майнить Monero.

В 2016 году было зафиксировано более 1,7 млн заражений, с которыми связаны 3150 IP-адресов (такая разница возникает в силу того, что малварь копирует свои файлы, Photo.scr и info.zip, в каждую директорию зараженного FTP-сервера; технически, каждое устройство заражено несколько раз).

Одним из наиболее популярных векторов атак стало заражение NAS-устройств различных производителей, так как они зачастую открыты для удаленного доступа. В своем отчете специалисты Sophos рассказали о работе вредоноса на примере Seagate Central NAS, которые уязвимы для Mal/Miner-C из-за конструктивного дефекта: эти устройства имеют публичную директорию, которую невозможно удалить или деактивировать. Если к NAS открыт удаленный доступ, атакующему не нужны даже логин и пароль, остается лишь поместить в публичную директорию малварь.

Работать непосредственно на NAS-устройствах Seagate Mal/Miner-C не может, поэтому они используются именно для распространения вредоноса. Исследователи полагают, что в настоящее время большинство этих сетевых хранилищ уже заражены: им удалось обнаружить в сети около 7000 NAS, и 5000 из них уже скомпрометированы.

Так как вредонос был создан для майнинга криптовалюты Monero, а все данные о своей работе он хранит в файле конфигурации, специалисты сумели подсчитать, что на данный момент злоумышленники заработали $86 400, то есть они генерируют порядка 2,5% всей майнинговой активности Monero.

Карта заражений

В качестве защиты от Mal/Miner-C исследователи Sophos рекомендуют пользователям закрывать удаленный доступ к своим устройствам.

Подобный отчет о Mal/Miner-C доступен по этой ссылке.