CryptoSink

2019-ben a rosszindulatú programok kutatói felfedezték a CryptoSink nevű tiltott kripto pénznembányászati kampányt. Úgy tűnik, hogy a támadók kihasználják az ismert sebezhetőséget a célzott rendszerek veszélyeztetése érdekében. A CryptoSink műveletben használt kizsákmányolás CVE-2014-3120 néven szerepel, és az Elasticsearch alkalmazás régebbi verziójához kapcsolódik. A kérdéses program kompatibilis a Windows és a Linux rendszerekkel. Ezért a CryptoSink kampány operátorai mindkét operációs rendszerrel kompatibilissé tették fenyegetésüket.

A kitartás megszerzése

A célzott rendszer veszélyeztetése érdekében a CryptoSink fenyegetés befecskendezi a hírhedt XMRig kriptovállalati bányász módosított változatát. Attól függően, hogy a fenyegetést Windows vagy Linux rendszeren telepítik-e, a kezelőgépen fennmaradó különbség lesz. A Windows számítógépen való kitartás érdekében a CryptoSink fenyegetése számos alapvető trükköt fog felhasználni. Amikor azonban a CryptoSink fenyegetés veszélyeztet egy Linux rendszert, akkor sokkal összetettebb technikákat kell használnia a kitartás megszerzéséhez. Amint a CryptoSink rosszindulatú program megfertőzi a Linux rendszert, több sérült hasznos terhet hoz le, amely segítséget nyújt a támadóknak a hátsó ajtóhoz való hozzáféréshez a géphez. A CryptoSink fenyegetésről az is beszámoltak, hogy módosítja az 'rm' parancsot, ami azt jelenti, hogy minden egyes alkalommal, amikor ezt a parancsot használják, a CryptoSink rosszindulatú program végrehajtásra kerül. Ilyen módon, még akkor is, ha a felhasználó eltávolítja a CryptoSink rosszindulatú programhoz kapcsolódó fájlokat, amint az 'rm' parancsot használják, a fenyegetés újra lesz telepítve.

Versenytársak eltávolítása

A bányászat célja a Monero kriptovaluta bányászata. A CryptoSink fenyegetés arra is képes kimutatni, hogy van-e újabb kriptovaluta-bányász a fertőzött számítógépen. Ha bármilyen versengő bányászat észlelnek, a CryptoSink fenyegetése megpróbálja megállítani tevékenységüket. A CryptoSink rosszindulatú program azonban nem távolítja el egyszerűen az egyéb bányászokat, amelyek veszélyeztethetik a rendszert; gondoskodik arról, hogy ha a rendszer megpróbál kapcsolódni egy előre beállított bányászati készletek listájához, akkor a forgalmat azonnal átirányítják a „127.1.1.1" -re. Ez megakadályozza, hogy a versengő bányászok csatlakozzanak előre meghatározott bányászkészletükhöz.

A CryptoSink művelet nagyon előrehaladott, és a bányász eltávolítása egy veszélyeztetett gazdagépről meglehetősen nagy kihívást jelenthet. Győződjön meg arról, hogy telepített-e egy valódi rosszindulatú programot, amely segítséget nyújt a CryptoSink fenyegetés eltávolításában.