Новая зараза
В кампании использовалось более 40 000 машин, работающих в различных отраслях, включая финансы, образование и правительство.
Кампания под названием Operation Prowli использовала различные методы, такие как взломы и перебои с вводом пароля для распространения вредоносного ПО и использования таких устройств, как веб-серверы, модемы и устройства Internet of the Things (IoT). GuardiCore обнаружила, что нападавшие – Prowli – были сосредоточены на зарабатывании денег, а не на идеологии или шпионаже.
Согласно отчету, скомпрометированные устройства были заражены вирусом-майнером Monero (XMR) и червем r2r2, вредоносным ПО, которое запускает атаки с использованием грубой силы SSH со взломанных устройств. Другими словами, произвольно генерируя блоки IP-адресов, r2r2 пытается перевести SSH-логины с помощью словаря пользователя / пароля, а после взлома запускает ряд команд на жертве.
“Все атаки происходили одинаково, обмениваясь с тем же сервером C & C, чтобы загрузить несколько инструментов атаки с именем r2r2 вместе с майнером криптовалюты”, – пишет GuardiCore.
Кроме того, киберпреступники использовали веб-оболочку с открытым исходным кодом под названием «WSO Web Shell» для изменения кода уязвимых веб-сайтов и размещения в нем вредоносного ПО, которое перенаправляет посетителей сайта в систему распределения трафика, а затем перенаправляет их на другие вредоносные сайты. После перенаправления на поддельный сайт пользователи стали жертвой нажатия на вредоносные расширения браузера. Команда GuardiCore сообщила, что Prowli удалось скомпрометировать более 9’000 компаний.
В прошлом месяце новый кусочек вредоносных программ использовал полмиллиона компьютеров, чтобы намайнить 133 токена Monero за три дня. Компания Cyber Security 360 Total Security обнаружила, что вредоносное ПО, называемое WinstarNssmMiner, представляет собой новую задачу для пользователей из-за его способности аварийного заражения компьютеров.