Майнер криптовалют попадает на компьютеры через уязвимость EternalBlue

Виталий Стриж, 23 августа 2017 в 14:38. 63

Злоумышленники инфицируют компьютеры под управлением Windows при помощи вредоносных приложений без файлов, способных работать в оперативной памяти. Благодаря этому они заставляют компьютеры заниматься добычей криптовалют.

Две функциональные возможности делают вредоносное приложение под названием Coinminer особенно навязчивым и незаметным, сообщают специалисты компании Trend Micro. Для инфицирования используется уязвимость EternalBlue, которую прежде задействовали приложения-вымогатели WannaCry и NotPetya для своего распространения. Microsoft выпустила патч для закрытия уязвимости ещё в марте, но волна заражений в Азии в целом и в Японии в частности показывает, что многие системы до сих пор не были обновлены.

На уязвимых компьютерах вредоносная программа запускает бэкдор, через который устанавливается несколько скриптов Windows Management Instrumentation (WMI). Их работа в оперативной памяти затрудняет обнаружение.

Увеличить рисунок

Сетевые администраторы могут использовать WMI для запуска скриптов с целью автоматизации административных задач и установки приложений на удалённых компьютерах. В данном случае цели не такие невинные: после подключения к командному серверу происходит скачивание приложений для майнинга.

Вредоносные приложения на основе WMI не новы; например, их использовала программа Stuxnet. Компания Malwarebytes обнаруживала методы применения WMI для взлома браузеров Chrome и Firefox и перенаправления пользователей на атакуемый сайт.

В данном случае программа обладает таймером, который автоматически запускает вредоносный скрипт WMI каждые 3 часа. Администраторам рекомендуется отключить файлообменный протокол SMBv1 для предотвращения использования EternalBlue. Еще до появления вымогателей и информации о существовании EternalBlue Microsoft призвала прекратить работу с этим протоколом 30-летней давности. У компании есть инструмент для обнаружения активности WMI. Если эта технология пользователям не нужна, рекомендуется отключить её.

Источник

Публикации по теме
В канале «Ранний доступ» появилась сборка Windows 10 17017 14 октября 2017, 10:15 В канале «Ранний доступ» появилась сборка Windows 10 17017

В пятницу компания Microsoft выпустила не только кумулятивное обновление для финальной версии Windows 10 Fall Creators Update, но и очередную предварительную сборку для всех инсайдеров в канале «Ранний доступ». Раньше здесь было разделение между сборками Redstone 3 и Redstone 4 при выборе опции Skip ahead, но теперь этого...

Выпущено обновление Windows 10 16299.19 14 октября 2017, 09:05

Три дня осталось до начала распространения обновления Windows 10 Fall Creators Update среди всех пользователей этой операционной системы. В преддверии этого события компания Microsoft выпустила очередное кумулятивное обновление, которое пришло на смену вышедшему 11 дней назад обновлению 16299.15.Новая сборка получила...

Выпущено обновление Windows 10 16299.19
Темпы распространения iOS 11 ниже, чем iOS 10 13 октября 2017, 18:35 Темпы распространения iOS 11 ниже, чем iOS 10

Операционная система Android известна своим высоким уровнем фрагментации и медленным распространением обновлений. На устройствах Apple такой проблемы нет, поскольку аппаратное и программное обеспечение выпускает один производитель. Однако, нынешний год для Apple пока складывается не самым удачным...