Robak z koparką kryptowaluty zaatakował dyski Seagate

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35557
Reakcje/Polubienia
24589
Miasto
Trololololo
Robak z koparką kryptowaluty zaatakował dyski sieciowe Seagate. Zyski idą w miliony.
Malware, które zamienia komputer w koparkę kryptowalut było całkiem popularne jeszcze kilka lat temu, kiedy to wyliczanie bitcoinów czy litecoinów za pomocą kart graficznych było jeszcze opłacalne. Potem odeszło w zapomnienie – koparkowy wyścig zbrojeń sprawił, że całe tygodnie pracy maszyn przynosiły groszowe zyski. Nawet na botnetach nie dało się wyjść na swoje. A teraz sytuacja znów się zmieniła: za sprawą coraz popularniejszej kryptowaluty Monero (XMR), koparkowe malware znów się opłaca, i co więcej, zaczęło się roznosić przez urządzenia, których zwykle nie zauważamy, póki robią swoje – na dyskach sieciowych.

Mal/Miner-C, znany także jako PhotoMiner, zaobserwowany został po raz pierwszy w czerwcu tego roku. Rozpowszechniał się jako robak internetowy po serwerach FTP, za pomocą siłowego ataku z listą najczęściej stosowanych loginów i haseł. Najnowsza wersja Mal/Miner-C zyskała jednak nowy wektor infekcji, wykorzystujący lukę w dyskach NAS Seagate Central. Dość trywialna luka sprawiła, że jak szacują badacze, już 70% podpiętych do Sieci tych urządzeń jest zarażonych.


Jak donoszą badacze firmy Sophos, dyski Seagate Central zawierają bowiem publiczny folder dostępny dla wszystkich użytkowników, także anonimowych – i co zabawne, folderu tego nie można ani wyłączyć, ani usunąć. Miner-C poszukuje więc wszystkich publicznie dostępnych dysków sieciowych (a ludzie często udostępniają je w Sieci, by mieć przez Internet dostęp do swoich dokumentów czy mediów), a następnie kopiuje tam swoje pliki. Wśród nich jest plik Photo.scr, zmodyfikowany tak, by wyglądał na pulpicie Windowsa jak normalna ikonka folderu.


Jako że Windows z jakiegoś powodu domyślnie ukrywa rozszerzenia nazw plików (doprawdy, to pomysł zasługujący na Nobla!), to użytkownik Seagate Central próbując otworzyć coś, co wygląda jak folder Photo, w rzeczywistości uruchamia skrypt startujący koparkę kryptowaluty Monero. Jej instancje, podpięte do kopalni Moneropool, do tej pory pozwoliły cyberprzestępcom pozyskać niemal 60 tys. XMR. Sporo, biorąc pod uwagę, że po obecnym kursie za 1 XMR płaci się ponad 13 dolarów.

Sytuacja jest o tyle niezręczna dla użytkowników Seagate Central, że nie mają żadnego sposobu zabezpieczenia się przed infekcją. Jedyne co mogą zrobić, to wyłączyć zdalny dostęp do swoich urządzeń przez Internet. To właśnie jednak łatwy zdalny dostęp przez Internet miał być jednym z powodów, dla którego te NAS-y kupili.
info:dobreprogramy.pl
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry