Бесфайловый GhostMiner принёс разработчикам чуть более 200 $

Исследователи из Minerva Labs обнаружили новый вид вредоносного программного обеспечения для майнинга криптовалюты. Технология исполняет код в PowerShell без создания файлов и может сканировать и останавливать процессы других майнеров, работающих на том же инфицированном устройстве.

Непростой, но «недооценённый»

Вирус распространяется в системах с серверами MS SQL, phpMyAdmin и Oracle WebLogic. Однако, по словам экспертов из Minerva Labs, во время анализа мошеннической кампании им удалось обнаружить активные инфицированные системы только под управлением WebLogic.

Так, GhostMiner сканирует случайные IP-адреса WebLogic и использует уязвимость CVE-2017-10271 для проникновения в целевую систему. Далее он запускает PowerShell-скрипты для активации собственного бесфайлового режима. В случае успеха алгоритм устанавливает компонент для майнинга, а также защитный механизм.

Несмотря на комплексную реализацию, создателям GhostMiner за три недели вредоносной кампании удалось заработать всего 1,03 Monero, что на момент написания новости составляет около 211 $.

Эксперты проанализировали библиотеку индексов майнеров, которой пользуется GhostMiner для отключения своих «конкурентов». На её основе исследователи создали собственный PowerShell-скрипт, позволяющий чистить систему от перечисленных в ней майнинговых программ.

Напомним, что в январе этого года оболочка PowerShell стала доступна для macOS и Linux.