Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Gli autori di virus distribuiscono miner di criptovalute per Linux e Windows

2 agosto 2018

I programmi malevoli per la produzione di criptovalute senza la conoscenza dell'utente sono molto popolari tra i criminali informatici. La maggior parte dei simili trojan è creata per il sistema operativo Windows, e sono molti più rari i miner di criptovalute orientati ai dispositivi con i sistemi operativi della famiglia Linux. Ma proprio tale programma malevolo è stato rilevato recentemente dagli analisti di virus Doctor Web.

I programmi malevoli e le utility per la produzione di criptovalute, di cui parliamo in questo articolo, sono stati caricati su uno dei nostri "honeypot" (in inglese "vasetto di miele") — server speciali utilizzati dagli specialisti Doctor Web come esca per i malintenzionati. I primi simili attacchi ai server con Linux sono stati registrati dagli analisti di virus all'inizio di maggio 2018. I criminali informatici si connettevano a un server tramite il protocollo SSH, trovavano il login e la password con un attacco a dizionario (bruteforce) e dopo l'autenticazione sul server disattivavano l'utility iptables che gestisce il funzionamento del firewall. Quindi i malintenzionati caricavano sul server attaccato una utility miner di criptovalute e un file di configurazione per essa. Per l'avvio dell'utility loro modificavano il contenuto del file /etc/rc.local, dopodiché terminavano la connessione.

All'inizio di giugno i criminali informatici hanno cambiato questo schema e hanno iniziato ad utilizzare un programma malevolo che è stato aggiunto ai database dei virus Dr.Web sotto il nome di Linux.BtcMine.82. Questo trojan è scritto nel linguaggio Go ed è un dropper nel cui corpo viene conservato un miner di criptovalute compresso. Il dropper lo salva su disco e lo esegue, il che semplifica notevolmente lo scenario di attacco. Anche l'indirizzo del portafoglio a cui viene trasferita la criptovaluta minata è trascritto nel corpo del programma malevolo.

screenshot Linux.BtcMine.82 #drweb

Gli analisti di virus hanno esaminato un server appartenente ai malintenzionati da cui veniva scaricato questo trojan e hanno scoperto su di esso diversi miner per il sistema operativo Windows.

screenshot Linux.BtcMine.82 #drweb

La versione del miner di criptovalute per Windows è realizzata in forma di un archivio RAR autoestraente contenente un file di configurazione, diversi script VBS per l'avvio del miner e l'utility miner stessa. Dopo l'avvio dell'archivio, l'utility viene decompressa nella cartella %SYSTEMROOT%\addins e viene registrata come un servizio con il nome SystemEsinesBreker.

screenshot Linux.BtcMine.82 #drweb

screenshot Linux.BtcMine.82 #drweb

Le versioni del miner per i sistemi operativi Windows a 32 e 64 bit vengono rilevate da Antivirus Dr.Web come campioni della famiglia Tool.BtcMine. I nostri utenti sono completamente protetti dalle azioni di questi programmi malevoli.

Informazioni sul trojan

#Honeypot #Linux #криптовалюты #майнинг #троянец

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2019

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A