Заплахи

Зачестяват заразяванията на мобилни устройства с майнъри за криптовалути

Александър Главчев

Наскоро откритията ботнет Gitpaste-12, притежаващ функции на интернет червей отново се активира с разширен арсенал от използвани уязвимости. Основната му "плячка" са устройства с Android и Linux, като заразява и IoT устройства.

Gitpaste-12 се разпространява чрез GitHub, а вредоносните му компоненти се хостват на Pastebin. Първата му версия, открита през октомври 2020 г., бе в състояние да използва 12 известни уязвимости.

В новия вариант използваните уязвимости вече са над 30. Той идентифициран на 10 ноември от Juniper ThreatLabs. Специалистите са открили хранилище в GitHub, което е съдържало само три файла - криптомайнър за Linux, списък с пароли за брутфорс атаки и интерпретатор с неизвестен произход, написан на Python 3.98.

По-късно към тях е добавен конфигурационен файл за криптомайнъра Monero (config.json), както и експлойт за повишаване на привилегиите в Linux в UPX формат.

След като попадне в системата на потенциалната жертва, новата версия на Gitpaste-12 незабавно изтегля злонамерени компоненти, включително криптомайнър и бекдор, след което започва да атакува уеб приложения, софтуерния компонент Android DebugBridge и IoT устройства, включително рутери и IP камери.

Експертите отбелязват, че обновеният червей разпознава поне 31 уязвимости, като само 7 от тях са наблюдавани в предишната му версия. Интересна особеност е, че той се опитва да използва съществуващи бекдорове, които биха могли да бъдат инсталирани от други зловредни инструменти.

Червеят използва уязвимости в пакети с отворен код като JBossSeam 2, CutePHP, mongo-express, Pi-hole и FuelCMS. Негови жертви могат да бъдат и потребители на пакета vBulletin и др.

Gitpaste-12 също така идва и с вграден червей за Unix - X10-unix, който атакува приложението Android Debug Bridge през порт 5555, опитвайки се да изтегли зловреден blu файл и APK пакет. Веднъж инсталиран, този файл публикува IP адреса на заразеното устройство на Pastebin и изтегля допълнителни компоненти. Към днешна дата е известно, че са заразени поне 100 различни хоста.





© Ай Си Ти Медиа ЕООД 1997-2021 съгласно Общи условия за ползване

X