Emotet is dit jaar de grote kwaadaardige bedreiging voor uw gebruikers
De banking trojan bleek botnet is goed voor bijna twee derde van alle malware payloads geleverd door e-mail – met kwaadaardige Url ‘ s favoriete veel meer dan weaponised bijlagen.
Een nieuw botnet is het maken van de rondes door misbruik te maken van Android Debug Bridge (ADB) en SSH tot slaaf te maken nieuwe Android-apparaten aan het netwerk.
Het botnet malware, zoals waargenomen door Trend Micro, heeft verspreid naar 21 landen en is momenteel het meest voor in Zuid-Korea.
Terwijl vele Android apparaten hebben de ADB ontwikkelaar de functie en de commando-regel gereedschap standaard uitgeschakeld, als het wordt gebruikt voor foutopsporing apps en dit is niet een kenmerk van een gemiddelde Android-gebruiker is vereist, sommige apparaten doen het schip met deze functie ingeschakeld en dit kan het openen van smartphones en tablets te exploiteren.
De onderzoekers zeggen dat het botnet, dat gespecialiseerd is in cryptocurrency mijnbouw, bij misbruik van het feit dat open ADB poorten geen authenticatie oplegt als een standaard instelling. Gegeven een open deur om te lopen door, op een manier die vergelijkbaar is met de Satori botnet, de nieuwe malware wordt verspreid van de geïnfecteerde gastheer voor een kwetsbaar systeem dat al eerder gedeelde van een SSH verbinding.
Zie ook: Blootgesteld Docker hosts kan worden benut voor aanvallen cryptojacking
Aan het begin van de infectie keten, het IP-adres 45[.]67[.]14[.]179 zal aansluiten op een apparaat met ADB en maakt gebruik van de ADB commando-shell gebruikt om te “tweaken” van het systeem werken directory “/data/local/tmp.” Deze wijziging is gebaseerd op het feit dat de bestanden met .tmp hebben vaak standaard uitvoering machtigingen.
Het botnet dan het uitvoeren van een reeks scans en zal analyseren of het target-systeem is een honeypot of niet — een indicatie beveiliging onderzoekers zijn wachten in de coulissen, aan reverse-engineering van de dreiging-en om vast te stellen wat voor soort besturingssysteem is op zijn plaats.
Een opdracht, wget, is vervolgens gelanceerd te downloaden van de malware lading. Als wget mislukt, krullen is gebruikt. Een extra opdracht chmod 777 een.sh, is uitgevoerd om te wijzigen de instellingen voor de rechten van de kwaadaardige lading, en dan verdere opdrachten worden opgelegd om de sporen van de malware de druppelaar.
De lading zelf, een keer getrokken uit de aanvaller de server, kan de botnet kiezen uit een van de drie mogelijke mijnwerkers afhankelijk van de slachtoffer van het systeem fabrikant, architectuur, processor type, – en hardware.
Alle drie de mijnwerkers worden gehost op het zelfde domein.
CNET: presidential Emergency alert teksten kunnen worden vervalst, de onderzoekers zeggen
Een interessant kenmerk van de malware is de mogelijkheid om in HugePages voor de verhoging van de capaciteit van uw systeem ter ondersteuning van de pagina ‘ s die groter zijn dan die welke meestal toegestaan door de standaard. Door dit te doen, dit kan mogelijk opvoeren van hoeveel illegale cryptocurrency mijnbouw kan worden uitgevoerd.
Daarnaast is de malware wijzigt u het apparaat bestand hosts te blokkeren concurrerende mijnwerkers.
De voortplanting systeem het botnet gebruikt is niet nieuw, maar moeilijk te voorkomen. De malware verspreidt zich via SSH en volgens Trend Micro, “elk systeem dat is aangesloten op de originele slachtoffer te worden aangevallen via SSH is waarschijnlijk te zijn vermeld als een “bekende” apparaat op het besturingssysteem.”
Dit kan onder andere mobiele apparaten of het Internet of Things (IoT) producten.
“Een bekend apparaat betekent dat de twee systemen met elkaar kunnen communiceren zonder verdere verificatie na de eerste uitwisseling van sleutels, elk systeem beschouwt de ander als veilig,” zeggen de onderzoekers. “De aanwezigheid van het verspreiden van een mechanisme kan betekenen dat deze malware misbruik van het gebruikte proces van het maken van SSH verbindingen.”
TechRepublic: Hoe te reageren op phishing e-mails: 6 stappen voor G Suite admins
Nadat de installatie is voltooid en een mijnwerker is hard aan het werk, de malware probeert te verspreiden naar andere apparaten en zal ook doorgaan met het verwijderen van de payloads in een poging om te vliegen onder de radar.
De dreiging van mobiele malware is en steeds grotere bedreiging acteurs zijn voortdurend hun technieken om compromissen te sluiten apparaten.
In de afgelopen weken nog een cyberaanval groep, die bekend staat als Outlaw, werd gespot in het verspreiden van een cryptocurrency mijnbouw botnet in China door middel van brute-force aanvallen op servers. Echter, een onderzoek naar de malware code bleek een als-van-nog ongebruikt Android APK die kunnen wijzen op Android-apparaten zullen worden op de botnet ‘ s target lijst in de toekomst.
Vorige en aanverwante dekking
Facebook lanceert Weegschaal cryptocurrency: een Bitcoin killer?
Vis vijvers verkapte diefstal van olie-veld van de macht in cryptocurrency mijnbouw regeling
Outlaw hackers terug met cryptocurrency mijnbouw botnet
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Blockchain
Beveiliging TV
Data Management
CXO
Datacenters