Криптомайнер XMrig переключился с устройств ARM на серверы Intel ( 1 фото )

Главными объектами для эксплуатации могут стать незащищенные сервисы с неисправленными уязвимостями и слабыми паролями.

Вредоносное ПО XMrig для майнинга криптовалюты, ранее замеченное только на устройствах от компании ARM, сменило вектор атак и переключилось на системы Intel. По словам исследователя безопасности компании Akamai Ларри Кэшдоллара (Larry Cashdollar), одна из его ловушек оказалась заражена вредоносной программой для IoT-устройств, нацеленной на компьютеры Intel на базе Linux.

В дополнение к настройке под процессоры Intel x86 и 686, вредоносная программа пытается установить SSH-соединение и загружается под видом архива gzip. Далее вредонос проверяет компьютер на наличие других вредоносных программ (на этом этапе установка останавливается) или более ранней версии, которую необходимо удалить. Далее майнер создает три разных каталога с разными версиями одних и тех же файлов. Каждая папка содержит версию криптомайнера XMrig 2.14.1 в 32-битном или 64-битном формате. Некоторые двоичные файлы носят названия различных Unix-утилит, таких как ps, в попытке слиться с обычным списком процессов.

После этого вредоносная программа устанавливает собственно инструмент для майнинга криптовалюты и модифицирует файл crontab для обеспечения работы после перезагрузки компьютера. Также устанавливается шелл-скрипт для связи с C&C-сервером.

«Преступники будут продолжать монетизировать незащищенные ресурсы всеми возможными способами. Системные администраторы должны использовать передовые методы обеспечения безопасности в системах, которыми они управляют. Главными объектами для эксплуатации могут стать незащищенные сервисы с неисправленными уязвимостями и слабыми паролями», — отмечает Кэшдоллар.