Бесфайловый GhostMiner принёс разработчикам чуть более 200 $

Новости

Майнер, работающий без создания отдельных исполняемых файлов, за три недели добыл 1,03 Monero. Сложный алгоритм GhostMiner исследователи решили перевести в полезное русло: на GitHub доступен PS-скрипт, позволяющий чистить систему от всех нелегитимных майнинговых процессов.

2К открытий2К показов

Исследователи из Minerva Labs обнаружили новый вид вредоносного программного обеспечения для майнинга криптовалюты. Технология исполняет код в PowerShell без создания файлов и может сканировать и останавливать процессы других майнеров, работающих на том же инфицированном устройстве.

Непростой, но «недооценённый»

Вирус распространяется в системах с серверами MS SQL, phpMyAdmin и Oracle WebLogic. Однако, по словам экспертов из Minerva Labs, во время анализа мошеннической кампании им удалось обнаружить активные инфицированные системы только под управлением WebLogic.

Так, GhostMiner сканирует случайные IP-адреса WebLogic и использует уязвимость CVE-2017-10271 для проникновения в целевую систему. Далее он запускает PowerShell-скрипты для активации собственного бесфайлового режима. В случае успеха алгоритм устанавливает компонент для майнинга, а также защитный механизм.

Несмотря на комплексную реализацию, создателям GhostMiner за три недели вредоносной кампании удалось заработать всего 1,03 Monero, что на момент написания новости составляет около 211 $.

Эксперты проанализировали библиотеку индексов майнеров, которой пользуется GhostMiner для отключения своих «конкурентов». На её основе исследователи создали собственный PowerShell-скрипт, позволяющий чистить систему от перечисленных в ней майнинговых программ.

Напомним, что в январе этого года оболочка PowerShell стала доступна для macOS и Linux.

Следите за новыми постами
Следите за новыми постами по любимым темам
2К открытий2К показов