Майнер распространяется через уязвимость в PHP-плагине Weathermap

Майнер распространяется через уязвимость в PHP-плагине Weathermap

Исследователи Trend Micro наткнулись на вредоносный майнер, который использует уязвимость в PHP-плагине Weathermap для распространения. Зловред, добывающий цифровую валюту атакует серверы Linux.

Основываясь на результатах мониторинга, эксперты нашли общие черты с уже встречавшейся ранее вредоносной кампанией, в которой принимал участие зловред JenkinsMiner. Разница лишь в том, что новая кампания атакует системы Linux. Примечательно, что злоумышленники используют давно устраненную уязвимость, патч для которой доступен уже почти пять лет.

На графике, представленном ниже, видно, как возрастало количество кибератак с декабря прошлого года по март нынешнего. Также можно наблюдать наиболее атакуемые страны.

Что касается используемой бреши, то речь идет о баге в плагине Weathermap (CVE-2013-2618), который системные администраторы используют для визуализации сетевой активности. Специалисты предполагают, что киберпреступники используют эту брешь из-за доступного эксплойта, рассчитывая на то, что некоторые организации просто не обновили свои системы.

Злонамеренный код создан таким образом, что загруженный вредоносный файл будет запускаться каждые три минуты. Помимо этого, зловред модифицирует параметр ядра Linux vm.nr_hugepages для майнинга криптовалюты Monero (XMR). Также майнер контролирует, чтобы вредоносный процесс был запущен, если он по какой-то причине завершен, вредонос перезапустит его.

Сам майнер детектируется компанией Trend Micro как COINMINER_MALXMR.SM-ELF64, он загружается с того же серврера, что и первоначальный пейлоад, получивший имя watchd0g.sh.

Эксперты проанализировали пять различных образцов, используемых в этой кампании, благодаря чему удалось найти связь с кошельками Monero. По данным исследователей, атакующим удалось собрать 320 XMR, что равно приблизительно 74 677 долларам США. Причем были проанализированы лишь два кошелька, связь с которыми удалось установить. Специалисты полагают, киберпреступники заработали гораздо больше.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Сеть слили свежие данные и заказы клиентов интернет-магазина ProfMagazin

В Сети появились данные пользователей, якобы зарегистрированных в онлайн-магазине косметики для мужчин и женщин ProfMagazin (profmagazin.ru). В выложенных дампах также можно найти историю заказов.

Об очередном сливе сообщает телеграм-канал «Утечки информации». Проанализировав опубликованную БД, исследователи выделили следующие скомпрометированные данные:

  • Имена и фамилии пользователей;
  • Адреса электронной почты (138 558 уникальных);
  • Телефонные номера (85 002 уникальных);
  • Адреса проживания;
  • Хешированные пароли (MD5 с солью);
  • Сумму заказов.

По словам специалистов, данные максимально свежие — датируются 17 марта 2024 года.

 

Напомним, на прошлой неделе появилась информация об утечке 200 млн строк данных, якобы украденных у Национального Бюро Кредитных Историй. Позже само бюро опровергло слив, отметив, что специалисты проверили системы и изучили выложенный фрагмент дампа.

Недавно мы анализировали громкую историю с утечкой секретных аудиозаписей немецких военных. Причём тут Cisco Webex — читайте в нашем материале.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru