mineiros monero são um dos malwares relacionados com criptomoeda mais popular que estão sendo distribuídos em campanhas de ataque nos últimos meses. As estratégias de hackers parecem incluí-los em um monte de diferentes tipos de tentativas de infiltração. No entanto as últimas campanhas de ataque parecem se concentrar em um novo tipo de tática usando mineiros duplas monero conjunto contra redes de computadores em todo o mundo.
Ataque Campanhas com Miners Duplo monero manchado
pesquisadores de segurança de computadores e analistas estão constantemente a receber relatórios para o ataque em curso campanhas que mineiros recurso criptomoeda como cargas primárias ou secundárias. Eles se tornaram populares como apenas uma pequena necessidades de script para ser carregado na memória a fim de iniciar os cálculos complexos. Os mineiros executar o software especial que utilizar os recursos de hardware disponíveis, a fim de gerar criptomoeda que é encaminhado para os operadores criminais. A maioria das ameaças mina para a maioria cryptocurrencies populares: Bitcoin, Monero e Ethereum.
No momento em que um novo tipo de campanhas de ataque está sendo definido contra redes de computadores em todo o mundo. Os criminosos estão alvejando principalmente os servidores de banco de dados usando uma vulnerabilidade descoberta. O problema identificado é CVE-2017-10271 que é descrito no advisotry como a seguir:
Vulnerabilidade no componente do Oracle WebLogic Server da Oracle Fusion Middleware (subcomponente: WLS Segurança). As versões suportadas que são afetados são 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 e 12.2.1.2.0. Facilmente vulnerabilidade explorável permite que invasor com acesso à rede via T3 para compromisso Oracle WebLogic Server. ataques bem sucedidos desta vulnerabilidade pode resultar em aquisição da Oracle WebLogic Server. CVSS 3.0 Score de base 7.5 (impactos Disponibilidade). CVSS Vector: (CVSS:3.0/DE:N / AC:G / Fri:N / IU:N / S:L / C:N / I:N / D:H).
Os hackers usam código de exploração que é muitas vezes usado com kits de ferramentas de hackers automatizados e plataformas. Usando comandos automatizados que os criminosos podem direcionar milhares de redes de uma forma de segundos. Como resultado da vulnerabilidade explora os criminosos podem ganhar acesso à rede para os servidores, bem como a capacidade de assumir o controle dos sistemas. O fato interessante é que enquanto os ataques tradicionais geralmente se concentram em ultrapassagens controle dos servidores afetados este infecta-los com os mineiros duplas monero.
The Double Monero Miners Payload e seu significado
A tática de usar mineiros duplas Monero é nova, uma vez que é utilizado de uma forma não-tradicional. Após as máquinas foram impactados pelo código de exploração de dois software mineiro em separado são instituídos nos dispositivos vítima. O primeiro é uma versão de 64-bit que é a opção padrão e a variante de backup é um executável compilado de 32 bits. Se o primeiro arquivo falhar ao iniciar, em seguida, os atacantes instruir o malwares para iniciar a opção de backup. Ao analisar as campanhas os especialistas em segurança descobriram que diferentes versões do código de exploração está sendo spread - há versões de teste e finais separadas. Isto significa que o hacker individual ou coletiva criminosa por trás dos ataques estão ativamente envolvidos em seu desenvolvimento em curso.
Monero Padrão Miners Execution
As infecções começam após a verificação de vulnerabilidade passou. O script de malware descarrega três arquivos relacionados com as operações de mineração para as máquinas comprometidas:
- Javaupd.exe - instância Um mineiro que está disfarçado como uma atualização para o Java Runtime Environment (JRE) que muitas vezes é instalado por usuários de computador a fim de executar aplicativos baseados em Java. Ao representar o popular aplicativo o vírus faz descoberta mais difícil, pois em alguns casos, o serviço pode usar mais recursos de hardware durante a sua execução.
- STARTUP.CMD - Este é o módulo de auto-start, que é responsável pela estado persistente de execução. Ele é usado para iniciar automaticamente o código de malware e impedir que outros aplicativos de interferir com os mineiros.
- 3.Exe - Um exemplo malicioso secundário.
O componente de auto-arranque associado com os mineiros Monero é colocada sobre o sistema na pasta de inicialização. Depois que ele é executado e inicia um comando PowerShell que cria duas tarefas agendadas:
- A primeira tarefa faz o download das versões mais recentes dos casos mineiro monero de um site controlado por hackers. As vitrines de cordas que a tarefa é nomeado como “A Oracle Java Update” e está programado para executar todas as 80 minutos, a fim de negar quaisquer problemas de rede possíveis.
- A segunda tarefa é nomeado “A oracle Java” e está programado para executar diariamente e verificar se a primeira tarefa foi concluída com êxito.
Depois das tarefas ter sido completa o script de controle lança o script apropriado, executando a carga secundária (3.Exe). Ele verifica se o sistema é capaz de executar a versão de 64 bits ou de 32 bits do código e então faz o download e executa o arquivo relevante. Um novo arquivo é baixado, que é chamado Logonui.exe que está registrado como um serviço do Windows e chamado “Microsoft Telemetry”. A versão apropriada (32 ou 64 bits) é carregado durante esta fase da iniciação malwares.
Consequências dos mineiros Duplo monero
Os especialistas em segurança, note que os mineiros monero instalados podem ter um impacto muito forte sobre o desempenho do computador da vítima. Como duas instâncias separadas são instalados para os anfitriões as vítimas podem não ser capaz de remover todas elas de uma forma eficiente. Lembramos os nossos leitores que o estado persistente de instalação também pode estar relacionada com alterações no registro do Windows e opções de configuração do sistema operacional. Tais alterações podem tornar muito difícil ou mesmo impossível de remover as infecções usando métodos manuais. Os analistas de segurança, note que os mineiros monero possui um obtendo informações módulo que tem a capacidade de digitalizar os hospedeiros infectados para outros tipos de malware, bem.
Como as campanhas de ataque ainda estão em curso e a identidade criminosos ainda é desconhecida. Nós suspeitamos que versões atualizadas podem trazer funcionalidade adicional, causar ainda mais perigosas mudanças no sistema e também podem ser usados como mecanismos de entrega payload.
Lembramos os nossos leitores que eles podem proteger-se do perigo, utilizando uma solução de qualidade anti-spyware.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: