Служителите на компанията за анализ на зловреден софтуер Intezer са, според Блог публикацияоткриха нов червей, който атакува сървъри на Linux и Windows, за да използва изчислителната им мощ за добив на криптовалутата Monero. По правило Monero, за разлика от много други криптовалути, не се изчислява със специални Asics, а с обикновени графични и централни процесори. Следователно отвлечените сървъри x86 постигат висока доходност.
Според Intezer червеят се разпространява и контролира централно чрез сървър за управление и контрол. Редовно Актуализации на сървъра предполагат, че мрежата за добив се управлява от активна хакерска група.
MySQL, Tomcat и Jenkins като вектори за атаки
Червеят се разпространява чрез публично видими интерфейси на услуги като MySQLTomcat и Jenkins (портове като 8080, 7001 и 3306). С помощта на атака с груба сила червеят се опитва да отгатне слабите пароли на тези услуги. Първоначално се използва речников подход, при който често използваните пароли се тестват с приоритет.
Веднага след като зловредният софтуер открие паролата, чрез Bash или Powershell се разпространява скрипт, който инсталира миньор MXRig. Освен това червеят се опитва да независим в мрежата на заразения сървър, за да може да използва допълнителни ресурси за криптодобив. Понастоящем зловредният софтуер не се открива от антивирусен софтуер и поради това е много опасен, според Intezer.
Ето защо само силни пароли и, ако е възможно, двуфакторно удостоверяване могат да осигурят защита. Компанията за сигурност препоръчва също така да се изключват услугите, които не се използват, и да се ограничава достъпът до необходимите услуги отвън. Освен това според Intezer актуализираният софтуер често може да предотврати заразяването със зловреден софтуер.