Новое вредоносное программное обеспечение использует уязвимости в PowerShell для установки майнеров криптовалют на серверах Microsoft Exchange
Злоумышленники стали устанавливать скрытые криптомайнеры на сервера Microsoft Exchange с помощью лазеек в командной строке PowerShell. Об этом сообщает исследовательская IT-фирма Morphisec. Согласно деталям, злоумышленники удаленно запускают код без аутентификации на серверах через уязвимые версии PowerShell CVE-2021-34473 и CVE-2021-34523.
Получив доступ к сети жертвы, хакеры размещают в системной папке администратора установщик вируса под названием ProxyShellMiner. Как утверждают эксперты, злоумышленники ставят на сервера майнер криптовалюты monero (XMR) под названием XMRig. Вирус чрезвычайно опасен, поскольку может обходить фаервол, а также рандомно подключается к одному из двенадцати майнинг-пулов, отмечают в Morphisec.
Эксперты по кибербезопасности предупреждают, что воздействие вируса на устройства жертв не только приводит к простоям в работе служб, но также снижает производительность серверов и вызывает перегрев компьютеров. Чтобы снизить риск заражения ProxyShellMiner, аналитики рекомендуют администраторам сетей применять доступные обновления безопасности и использовать комплексные стратегии обнаружения угроз.
Наплыв мошеннических схем
Ранее аналитики исследовательской фирмы CheckPoint предупредили, что программный менеджер для JavaScript под названием NPM стали пополнять вредоносными пакетами, которые скрытно майнят криптовалюту на устройстве жертвы. Сообщается, что под видом пакетов для измерения скорости Интернет-соединения злоумышленник распространял криптовалютный майнер. К пагубным пакетам отнесли расширения speedtestgo, lagra, trova и еще тринадцать других вариаций программного обеспечения.
Тем временем эксперты фирмы по IT-безопасности Phylum нашли свыше 450 вредоносных пакетов в репозитории Python, которые устанавливают расширение в браузеры для кражи криптовалют. Вредоносные пакеты пытаются выдавать себя за настоящие, но отличаются лишь одной опечаткой, вводя жертву в заблуждение.
По данным Phylum, мошенники крадут криптовалюту путем подмены публичного адреса, который жертва копирует в буфер обмена. Речь идет о публичных адресах из блокчейн-сетей Bitcoin, Ethereum, TRON, BNB Chain (бывш. Binance Smart Chain), Litecoin, XRP, Dash, Bitcoin Cash и Cosmos.
