AT&T проаналізувала роботу прихованого майнера Monero, заражающего поштові сервери

Підрозділ телекомунікаційної компанії AT&T Alien Labs проаналізувало поширення шкідливої програми для прихованого майнінгу Monero, яка впроваджується на поштові сервери.

В опублікованому цього тижня звіті дослідника в області безпеки Фернандо Домінгеса (Fernando Domínguez) докладно розповідається про те, як шкідлива програма для прихованого майнінгу поширюється на вразливих серверах Exim, Confluence і WebLogic. Програма встановлює шкідливий код, який видобуває Monero через проксі-сервер. За даними ZDNet, сервери Exim становлять більше половини всіх поштових серверів.

Спочатку вірус впроваджує на сервер BASH-скрипт, який перевіряє наявність конкуруючих процесів майнінгу і припиняє їх, перш ніж проникнути на інші пристрої в мережі. Згідно зі звітом F5, криптовалютные майнеры часто припиняють інші процеси майнінгу при зараженні системи, щоб по максимуму використовувати пристрій. Потім на зламані сервери завантажується шкідливе ПЗ на основі програми для прихованого майнінгу Monero XMRig.

XMRig, доступна для скачування на GitHub, вже давно стала фаворитом у хакерів. Саме вона використовувалася за основу вірусу-майнера, який заразив більше 500 000 комп’ютерів з Mac OS в 2017 році. За даними фахівців Alien Labs, модифікований майнер працює через проксі-сервер, що робить відстеження видобутих криптовалют або визначення адреси гаманця практично неможливим без доступу до проксі-сервера.

При завантаженні програми також завантажується і інший файл з ім’ям Sesame, ідентичний оригінальному BASH-скрипту. Це ключ до стійкості вірусу: він підключається до завдання планувальника з п’ятихвилинним інтервалом, що дозволяє йому протистояти спробам знищення і виключення системи. Він може також автоматично оновлюватися до нових версій.

Alien Labs почала досліджувати вірус у червні 2019 року. Раніше аналогічні дослідження були проведені компанією Lacework. Фахівці поки не знають, наскільки широко поширений цей безіменний майнер. У звіті Alien Labs зазначається, що «складно оцінити, який доход ця кампанія принесла тим, хто їй управляє», але, швидше за все, він «не дуже значний».