Новости экономики

Вредоносный майнер Kitty

Исследователи из Incapsula наблюдают криптоджекинг-кампанию, использующую уязвимость Drupalgeddon 2 для распространения вредоносного ПО с игривым названием Kitty. Этот зловред позволяет скрытно использовать для майнинга вычислительные мощности не только веб-сервера, но и посетителей сайтов.

Патч для уязвимости CVE-2018-7600, получившей известность как Drupalgeddon 2, вышел в конце марта; спустя две недели в Imperva зафиксировали первые попытки использования этой бреши в атаках. На тот момент вредоносная активность в основном ограничивалась сканами, хотя наблюдатели также зафиксировали отдельные случаи установки бэкдоров и майнеров криптовалюты.

Текущие Kitty-атаки происходят по следующему сценарию. В результате выполнения bash-скрипта, внедренного на сервер приложений путем эксплойта Drupalgeddon 2, на диск записывается файл kdrupal.php — бэкдор, обеспечивающий автору атаки постоянный доступ к зараженной машине.

После этого Kitty регистрирует задачу планировщика (крон), в соответствии с которой на сервер каждую минуту с удаленного узла загружается копия bash-скрипта и запускается на исполнение. Таким образом, злоумышленники имеют возможность повторно заражать серверы и быстро раздавать обновления.

Получив постоянный доступ к серверу, атакующий устанавливает популярный майнер XMRig, который сразу же приступает к добыче Monero. Однако мошенникам этого мало — они также решили охватить всю потенциальную аудиторию зараженного сервера приложений. С этой целью в разные веб-ресурсы на сервере внедряется майнер me0w.js — слегка видоизмененный вариант проекта webminerpool с открытым исходным кодом, доступного на Github.

Зловредный скрипт внедряется в файл index.php и во все JavaScript-файлы на сервере, с тем чтобы он отрабатывал каждый раз, когда посетитель заходит на сайт через браузер.

В заключение автор атаки, используя команду echo, оставляет в консоли следующее дерзкое послание: me0w, don’t delete pls i am a harmless cute little kitty, me0w («мяу, не удаляйте, пжст, я такой мимишный котенок, мяу»).

По данным Incapsula, адрес кошелька Monero, который используют распространители Kitty, засветился также в начале апреля в ходе атак на серверы с CMS-системой vBulletin 4.2.X.

telega

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (Пока оценок нет)
Загрузка...

Редактор. Директор по маркетингу. Криптоинвестор с 2015 года.

Подробнее в Новости экономики
Bitcoin Dark
BitcoinDark сегодня подорожал на 146,5%

Криптовалюта BitcoinDark (BTCD) за пять минут подорожала на 128%, с $111,27  до $253,71. В текущий момент BitcoinDark торгуется на отметке $246,33...

Закрыть