CryptoSink

Leta 2019 so raziskovalci zlonamerne programske opreme odkrili nezakonito kampanjo rudarjenja kriptovalut z imenom CryptoSink. Zdi se, da napadalci izkoriščajo znano ranljivost, da bi ogrozili ciljne sisteme. Izkoriščanje, uporabljeno v operaciji CryptoSink, se imenuje „CVE-2014-3120" in je povezano s starejšo različico aplikacije Elasticsearch. Zadevni program je združljiv s sistemoma Windows in Linux. Zaradi tega dejstva so izvajalci kampanje CryptoSink svojo grožnjo naredili združljivo z obema operacijskima sistemoma.

Pridobivanje

Za ogrožanje ciljnega sistema bo nevarnost CryptoSink vbrizgala spremenjeno različico zloglasnega rudarja kriptovalut XMRig . Glede na to, ali je grožnja nameščena v sistemu Windows ali Linuxu, bo gostiteljica vztrajala drugače. Za pridobitev vztrajnosti na računalniku z operacijskim sistemom Windows bi grožnja CryptoSink uporabila več osnovnih trikov. Ko pa grožnja CryptoSink ogrozi sistem Linux, bo morala uporabiti veliko bolj zapletene tehnike, da pridobi obstojnost. Takoj, ko zlonamerni program CryptoSink uspe okužiti sistem Linux, bo dobil več poškodovanih koristnih obremenitev, ki bodo napadalcem pomagale do povratnega dostopa do naprave. O grožnji CryptoSink se poroča tudi, da spremeni ukaz 'rm', kar pomeni, da se bo vsakič, ko se bo ta ukaz še posebej uporabljal, izvajala zlonamerna programska oprema CryptoSink. Na ta način, tudi če uporabnik odstrani datoteke, povezane z zlonamerno programsko opremo CryptoSink, takoj, ko uporabi ukaz 'rm', grožnja bo prerazporejena.

Odstranjevanje tekmovalcev

Rudar je zasnovan za rudarjenje kriptovalute Monero. Grožnja CryptoSink lahko tudi zazna, ali je na okuženem računalniku prisoten še en rudar kriptovalute. Če bodo odkriti kakšni konkurenčni rudarji, bo CryptoSink grožnja poskušala ustaviti svoje dejavnosti. Vendar zlonamerna programska oprema CryptoSink preprosto ne odstrani drugih rudarjev, ki so morda ogrozili sistem; zagotavlja, da se bo sistem, če se poskuša povezati s predhodno konfiguriranim seznamom rudarskih bazenov, takoj preusmeril na '127.1.1.1'. To preprečuje, da bi se tekmovalni rudarji lahko povezali s svojim vnaprej določenim rudarskim bazenom.

Operacija CryptoSink je zelo napredna in odstranitev rudarja z ogroženega gostitelja se lahko izkaže za precej zahtevno. Prepričajte se, da imate nameščeno pristno rešitev proti zlonamerni programski opremi, ki vam bo pomagala pri odstranjevanju grožnje CryptoSink.

V trendu

Najbolj gledan

Nalaganje...