Ботнет, написанный на Python, заражает Linux-системы с открытыми портами SSH

Злоумышленники используют сеть для добычи криптовалюты.
PyMoneroMiner

Эксперты уверены, что группа злоумышленников создала сеть ботов на основе недостаточно защищенных Linux-устройств с целью добычи криптовалюты.

Судя по всему, злоумышленники используют брутфорс-атаку для подбора пароля SSH. Если атака проходит успешно, то зараженный компьютер начинает «майнить» Monero — одну из набирающих популярность криптовалют.

Python-скрипты сложнее обнаружить

Уникальность примененного метода состоит в том, что он основывается на Python, тогда как большинство ботнетов используют более низкоуровневые технологии.

Эксперты F5 утверждают, что в отличие от скомпилированного вредоносного ПО, ботнет на скриптовом языке программирования сложнее обнаружить, так как он выполняется обыкновенными интерпретаторами PERL/Python/Bash/Go/PowerShell, которые предустановлены в большинстве Linux-дистрибутивов.

Несмотря на это, исследователи отмечают, что реализация ботнета оказалась несложной.

Схема работы PyCryptoMiner

После заражения мошенники устанавливают на компьютер жертвы небольшой скрипт. Он собирает информацию о системе и отправляет ее на удаленный сервер. Сервер отвечает файлом формата .py (скриптом, написанным на Python), который устанавливает на зараженный компьютер открытую реализацию майнера Minerd Monero.

Эксперты обнаружили два кошелька Monero, используемые злоумышленниками. Общая сумма хранящихся средств — 158 Monero, что составляет около 60000 долларов.

Популярность Monero и ранние прецеденты

В последнее время Monero часто используют злоумышленники: это может объясняться в том числе ее растущим курсом. Например, недавно мы писали об атаках на WordPress-сайты. Тогда устройства пользователей добывали для мошенников криптовалюту.

Источник: Bleeping Computer