Emotet är årets stora skadliga hot mot din användare
Bank trojan vände botnet står för nästan två tredjedelar av all skadlig kod nyttolaster som levereras via e – post- med skadliga Webbadresser gynnade långt mer än weaponised bilagor.
En ny botnet är att göra rundor genom att missbruka Android Debug Bridge (ADB) och SSH för att förslava nya Android-enheter till nätverket.
Botnet-malware, som observerats av Trend Micro, har spridit sig till 21 länder och är för närvarande störst i Sydkorea.
Medan många Android-enheter har ADB-utvecklare funktion och kommandoradsverktyg inaktiverad som standard, eftersom det används för att felsöka program-och detta är inte en funktion i genomsnitt Android-användare kräver att vissa enheter skickar med den här funktionen aktiverad och att detta kan öppna upp smartphones och tabletter för att utnyttja.
Forskarna säger att botnät, som specialiserat sig på cryptocurrency gruvdrift, missbruk att öppna ADB-portar som inte har autentisering införs som standard. Med tanke på en öppen dörr att gå igenom, på ett sätt som liknar den Satori botnet, den nya malware kommer att sprida sig från den infekterade värd att någon sårbara system som har tidigare delat en SSH-anslutning.
Se även: Exponeras Docker värdar kan utnyttjas för attacker cryptojacking
I början av infektionen kedja, IP-adress 45[.]67[.]14[.]179 kommer att ansluta till en enhet med ADB och använder ADB kommandot shell för att justera systemets katalog till “/data/local/tmp.” Denna ändring grundar sig på det faktum att filer med .tmp har ofta standard-utförande behörigheter.
Botnät sedan utföra en serie av skannar och kommer att analysera om target-systemet är en skål med honung eller inte — en indikation säkerhet forskare som väntar i kulisserna för att bakåtkompilera hot-samt för att avgöra vilken typ av operativsystem som är på plats.
Ett kommando, wget, är sedan lanserade för att hämta skadlig programvara på datorn. Om wget misslyckas, curl används. Ytterligare ett kommando chmod 777 en.sh, utförs för att ändra behörighetsinställningar av den skadliga koden, och sedan ytterligare kommandon som införts för att avlägsna spår av skadlig kod är pipett.
Nyttolasten själv, en gång drog från angriparens server, kan botnät för att välja en av tre potentiella gruvarbetare beroende på offret systemets tillverkare, arkitektur, processortyp och hårdvara.
Alla tre gruvarbetare finns på samma domän.
CNET: presidentens Emergency alert texterna skulle kunna vara falsk, säger forskarna
Ett intressant inslag i det skadliga programmet är möjligheten att aktivera HugePages för att öka systemets kapacitet att stödja sidor som är större än de som vanligen är tillåtna som standard. Genom att göra så kan detta potentiellt ramp upp hur mycket olaglig cryptocurrency brytning kan utföras.
Dessutom skadlig kod kommer att ändra enheten hosts-fil för att blockera konkurrerande gruvarbetare.
Förökning system botnät används är ingenting nytt, men kan vara svårt att förhindra. Skadlig kod sprids via SSH och enligt Trend Micro, “alla system som har anslutits till den ursprungliga offret attackeras via SSH kan ha varit listad som en “känd” enhet på sina operativsystem.”
Detta kan inkludera andra mobila enheter eller Internet of Things (IoT) produkter.
“Att vara en känd enhet innebär att de två systemen kan kommunicera med varandra utan att någon ytterligare autentisering efter den inledande key exchange, varje anser att systemet de andra som är säkra,” forskarna säger. “Närvaron av en mekanism för att sprida kan betyda att denna skadliga program kan missbruka den allmänt använda processen för att göra SSH-anslutningar.”
TechRepublic: Hur man ska bemöta phishing e-post: 6 steg för G Suite admins
Efter att installationen har färdigställts och en gruvarbetare är hårt arbete, malware kommer att försöka sprida sig till andra enheter och kommer också fortsätta att ta bort sin egen utrustning i ett försök att flyga under radarn.
Hotet från skadlig kod för mobiltelefoner har ökat stadigt och hot aktörer utvecklas ständigt sina metoder för att kompromissa med våra enheter.
Under de senaste veckorna har en annan cyberattack grupp, som kallas Outlaw, sågs sprida en cryptocurrency mining botnet över Kina genom brute-force attacker mot servrar. Men en granskning av skadlig kod avslöjade en hittills oanvänd Android APK som kan tyda på Android-enheter kommer att vara på botnet är målet listan i framtiden.
Tidigare och relaterade täckning
Facebook lanserar Vågen cryptocurrency: en Bitcoin-killer?
Fiskdammar förtäckt stöld av olja fältet makt i cryptocurrency gruv-system
Outlaw hackare tillbaka med cryptocurrency mining botnet
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Blockchain
Säkerhet-TV
Hantering Av Data
CXO
Datacenter