CryptoSink

I 2019 avdekket skadelige forskere en ulovlig gruvedriftkampanje for cryptocurrency med navnet CryptoSink. Det ser ut til at angriperne utnytter en kjent sårbarhet for å kompromittere de målrettede systemene. Utnyttelsen som ble brukt i CryptoSink-operasjonen kalles 'CVE-2014-3120,' og er relatert til en eldre versjon av Elasticsearch-applikasjonen. Det aktuelle programmet er kompatibelt med Windows og Linux-systemer. På grunn av dette faktum har operatørene av CryptoSink-kampanjen gjort sin trussel kompatibel med begge operativsystemene.

Å få utholdenhet

For å kompromittere det målrettede systemet, vil CryptoSink-trusselen injisere en modifisert variant av den beryktede XMRig cryptocurrency gruvearbeideren. Avhengig av om trusselen er distribuert på et Windows- eller Linux-system, vil den få utholdenhet på verten annerledes. For å få utholdenhet på en Windows-datamaskin vil CryptoSink-trusselen bruke flere grunnleggende triks. Imidlertid, når CryptoSink-trusselen kompromitterer et Linux-system, vil den måtte bruke mye mer komplekse teknikker for å få utholdenhet. Så snart CryptoSink malware klarer å infisere et Linux-system, vil det hente flere ødelagte nyttelaster som vil hjelpe angriperne med å få tilgang til bakdøren til maskinen. CryptoSink-trusselen rapporteres også for å endre 'rm' -kommandoen, noe som betyr at hver gang denne kommandoen, spesielt, blir brukt, vil CryptoSink-skadelig programvare bli utført. På denne måten, selv om brukeren fjerner filene som er koblet til CryptoSink malware-aktivitet, så snart de bruker 'rm' -kommandoen, vil trusselen bli omdisponert.

Fjerne konkurrenter

Gruvearbeideren er designet for å gruve for Monero cryptocurrency. CryptoSink-trusselen er også i stand til å oppdage om det er en annen cryptocurrency-gruvearbeider til stede på den infiserte datamaskinen. Hvis det er noen konkurrerende gruvearbeidere som blir oppdaget, vil CryptoSink-trusselen prøve å stoppe deres aktiviteter. Imidlertid fjerner CryptoSink malware ikke bare andre gruvearbeidere som kan ha kompromittert systemet; den sørger for at hvis systemet prøver å koble seg til en forhåndskonfigurert liste over gruvebassenger, vil trafikken bli omdirigert til '127.1.1.1' umiddelbart. Dette forhindrer konkurrerende gruvearbeidere fra å koble seg til sitt forhåndsbestemte gruvebasseng.

CryptoSink-operasjonen er veldig avansert, og det kan vise seg å være ganske utfordrende å fjerne gruvearbeideren fra en kompromittert vert. Forsikre deg om at du har installert en ekte anti-malware løsning som vil hjelpe deg med å fjerne CryptoSink-trusselen.