CryptoSink

Vuonna 2019 haittaohjelmatutkijat paljastivat laittoman kryptovaluutan louhintakampanjan nimeltä CryptoSink. Hyökkääjät näyttävät hyödyntävän tunnettua haavoittuvuutta vaarantaakseen kohdistetut järjestelmät. CryptoSink-operaatiossa käytetty hyväksikäyttö on nimeltään 'CVE-2014-3120', ja se liittyy Elasticsearch-sovelluksen vanhaan versioon. Kyseinen ohjelma on yhteensopiva Windows- ja Linux-järjestelmien kanssa. Tästä syystä CryptoSink-kampanjan operaattorit ovat tehneet uhansa yhteensopivaksi molempien käyttöjärjestelmien kanssa.

Pysyvyyden lisääminen

Kohdennetun järjestelmän vaarantamiseksi CryptoSink-uhka injektoi modifioidun version pahamaineisesta XMRig-salauksenpurkulaitteesta . Riippuen siitä, otetaanko uhka käyttöön Windows- tai Linux-järjestelmässä, isäntäjoukko pysyy jatkuvasti eri tavalla. Pysyvyyden saamiseksi Windows-tietokoneessa CryptoSink-uhka käyttäisi useita perusvinkkejä. Kuitenkin kun CryptoSink-uhka vaarantaa Linux-järjestelmän, sen on käytettävä paljon monimutkaisempia tekniikoita pysyvyyden saavuttamiseksi. Heti kun CryptoSink-haittaohjelma onnistuu saastuttamaan Linux-järjestelmän, se noutaa useita vioittuneita hyötykuormia, jotka auttavat hyökkääjiä pääsemään koneen takaoviin. CryptoSink-uhan on myös ilmoitettu muuttavan rm-komentoa, mikä tarkoittaa, että aina kun tätä komentoa käytetään, CryptoSink-haittaohjelma suoritetaan. Tällä tavoin, vaikka käyttäjä poistaisi CryptoSink-haittaohjelmatoimintaan linkitetyt tiedostot, uhka siirretään heti heti kun he käyttävät rm-komentoa.

Kilpailijoiden poistaminen

Kaivostyökalu on suunniteltu kaivostamaan Monero-kryptovaluuttaan. CryptoSink-uhka pystyy myös havaitsemaan, onko tartunnan saaneessa tietokoneessa toista kryptovaluutanarvoa. Jos kilpailijoita löydetään, CryptoSink-uhka yrittää pysäyttää heidän toimintansa. CryptoSink-haittaohjelma ei kuitenkaan poista vain muita kaivostyöntekijöitä, jotka ovat saattaneet vaarantaa järjestelmän; se varmistaa, että jos järjestelmä yrittää muodostaa yhteyden ennalta määritettyyn kaivosallasluetteloon, liikenne ohjataan välittömästi kohtaan 127.1.1.1. Tämä estää kilpailevia kaivostyöläisiä pääsemästä ennalta määrättyyn kaivosaltaansa.

CryptoSink-toiminta on edennyt hyvin, ja kaivoksen poisto vaarannetusta isännästä voi osoittautua melko haastavaksi. Varmista, että olet asentanut aito haittaohjelmien torjuntaratkaisu, joka auttaa sinua poistamaan CryptoSink-uhan.

Trendaavat

Eniten katsottu

Ladataan...