Přes NAS od Seagate se šířil malware pro těžbu kryptoměny Monero

11. 10. 2016 v sekci Článek

Experti ze Sophosu nedávno upozornili na malware Mal/Miner-C, který na napadené počítače instaluje nástroj pro těžbu kryptoměny Monero.

Zajímavé je ale především to, že se malware rozšířil také díky NAS úložištím od Seagatu. Kamenem úrazu se stalo to, že v mnoha případech NASky Seagatu slouží jako veřejně přístupný FTP server, tedy pokud je zařízení připojeno k internetu, může na něj data ukládat kdokoliv (public folder u NASek Seagate nelze deaktivovat a ve chvíli, kdy administrátor povolí vzdálený přístup, jsou dveře k dalším obětem otevřené). Útočníci skenují FTP servery, na které se pokouší dostat pomocí běžných přihlašovacích údajů, nebo právě, jak se ukázalo v případě Seagatu, pomocí anonymního účtu. Ve chvíli, kdy už se dostanou na server, zkopírují tam infikované soubory (v tomto případě maskované jako Photo.scr a Info.zip). Podle zprávy Sophosu se tento trojan objevil zatím na 3 150 unikátních IP adresách.

Malware Mal/Miner-C se přitom automaticky nespouští a musí jej otevřít uživatel. Opravdu ještě v roce 2016 někdo kliká kam nemá? Ano! Po aktivaci, tedy spuštění, začne program využívat výpočetní sílu napadaného počítače, ze kterého se stává neúnavná těžební stanice kryptoměny Monero.

Jak to probíhá? U většiny kryptoměn se uživatelé mohou podílet na tvorbě nových jednotek tím, že propůjčí výpočetní kapacitu svého počítače pro řešení složitých matematických operací, které jsou potřebné pro validace probíhajících transakcí. Tento proces se nazývá „těžbou“ a představuje nemalou výpočetní zátěž, proto útočníci těžbu rádi „outsourcují“, tedy napadají a zneužívají cizí počítače.

Ačkoliv nebyl Mal/Miner-C primárně určen pro napadání NASek, opět se ukázalo, že útočníci umí rychle reagovat, když se někde objeví slabé místo.

 

Vaše SOCA