CryptoSink

В 2019 году исследователи вредоносного ПО обнаружили незаконную криптовалютную кампанию под названием CryptoSink. Похоже, что злоумышленники используют известную уязвимость для взлома целевых систем. Эксплойт, используемый в операции CryptoSink, называется «CVE-2014-3120» и связан с более старой версией приложения Elasticsearch. Данная программа совместима с системами Windows и Linux. Благодаря этому операторы кампании CryptoSink сделали свою угрозу совместимой с обеими операционными системами.

Приобретая настойчивость

Чтобы скомпрометировать целевую систему, угроза CryptoSink внедрит модифицированный вариант печально известного майнера криптовалюты XMRig . В зависимости от того, развернута ли угроза в системе Windows или Linux, она будет по-разному сохраняться на хосте. Чтобы получить постоянство на компьютере Windows, угроза CryptoSink будет использовать несколько основных приемов. Однако, когда угроза CryptoSink скомпрометирует систему Linux, ей придется использовать гораздо более сложные методы, чтобы получить постоянство. Как только вредоносная программа CryptoSink сможет заразить систему Linux, она получит несколько поврежденных полезных данных, которые помогут злоумышленникам получить доступ к компьютеру через черный ход. Также сообщается, что угроза CryptoSink изменяет команду 'rm', что означает, что при каждом ее использовании, в частности, будет выполняться вредоносная программа CryptoSink. Таким образом, даже если пользователь удалит файлы, связанные с вредоносным действием CryptoSink, как только он использует команду «rm», угроза будет повторно развернута.

Удаление конкурентов

Майнер предназначен для майнинга криптовалюты Monero. Угроза CryptoSink также способна обнаружить, есть ли на зараженном компьютере еще один майнер криптовалюты. Если будут обнаружены какие-либо конкурирующие майнеры, угроза CryptoSink попытается остановить их действия. Однако вредоносная программа CryptoSink не просто удаляет других майнеров, которые могли поставить под угрозу систему; он гарантирует, что если система попытается подключиться к предварительно настроенному списку пулов майнинга, трафик будет немедленно перенаправлен на «127.1.1.1». Это препятствует подключению конкурирующих майнеров к заранее определенному майнинговому пулу.

Операция CryptoSink очень продвинута, и удаление майнера с скомпрометированного хоста может оказаться довольно сложной задачей. Убедитесь, что установлено подлинное решение для защиты от вредоносных программ, которое поможет вам в устранении угрозы CryptoSink.