Антивірусна компанія Trend Micro виявила ботнет для майнінг криптовалют, використовує порти Android Debug Bridge, які призначені для усунення дефектів додатків.
Як повідомляють дослідники з Trend Micro, шкідливий ботнет виявлений у 21 країні і найбільш поширений у Південній Кореї. Автори користуються тим, що відкриті порти ADB не вимагають аутентифікації за замовчуванням, і після установки шкідлива програма розповсюджується на будь-яку систему, яка раніше використовувала з’єднання по SSH. Зазначимо, що SSH використовує широкий спектр пристроїв – від мобільних гаджетів до пристроїв Інтернету речей, а це означає, що багато продукти стають сприйнятливі до поширення шкідливого ПЗ.
«Коли пристрій отримує статус відомого, дві системи можуть обмінюватися даними один з одним без будь-якої додаткової аутентифікації. Після початкового обміну ключами кожна система вважає іншу безпечною. Наявність механізму поширення може означати, що ця шкідлива програма може зловживати широко використовуваним процесом створення SSH з’єднань», – відзначають дослідники.
IP-адреса 45..67..14..179 надходить через ADB і використовує командну оболонку для оновлення робочого каталогу до /data/local/tmp, оскільки файли .tmp часто мають дозвіл за замовчуванням для виконання команд. Як тільки бот визначає, що він увійшов в honeypot, він використовує команду wget, щоб завантажити дані трьох різних майнер, при цьому програма згортається, якщо wget відсутня в зараженій системі.
Шкідливе ПЗ визначає, який майнер найкраще підходить для цього пристрою в залежності від виробника системи, архітектури, типу процесора і іншого апаратного забезпечення. Потім виконується додаткова команда chmod 777 a.sh, щоб змінити налаштування дозволів для видалення вихідного скрипта. Нарешті, бот ховається від хоста, використовуючи команду rm -rf a.sh*, щоб видалити завантажений файл. Це також приховує слід проникнення ботнету, коли він поширюється на інших жертв.
Дослідники з Trend Micro вивчили сценарій вторгнення і визначили три потенційних майнера, які можуть бути використані в атаці, причому всі вони поширюються одним і тим же URL:
http://198..98..51..104:282/x86/bash
http://198..98..51..104:282/arm/bash
http://198..98..51..104:282/aarch64/bash
Дослідники також виявили, що сценарій розширює пам’ять хоста за рахунок включення HugePages, що дозволяє сторінок пам’яті, розмір яких перевищує розмір за замовчуванням, оптимізувати висновок даних під час майнінгу. Якщо майнеры вже були виявлені за допомогою системи, ботнет намагається анулювати їх URL і видалити їх, змінивши код хоста.
Нещодавно Trend Micro виявила, що ботнет хакерської групи Outlaw поширює для майнінг Monero, а раніше компанія повідомила, що уразливість в Oracle WebLogic використовується для установки вірусів-майнер. До цього фахівці з кібербезпеки з Trend Micro повідомили про виявлення іншого вірусу-майнера під назвою BlackSquid.
Thanks!
Our editors are notified.