В софт Monero для криптоджекинга добавлены вредоносные функции

Исследователи команды по кибербезопасности Unit 42 обнаружили обновленную версию вредоносного ПО Monero для криптоджекинга под названием Black-T, созданную преступным оператором криптовалютного ботнета TeamTnT, нацеленного на файлы учетных данных AWS на зараженных облачных системах и майнинг Monero (XMR).

Согласно отчету Unit 42, злоумышленники выполнили обновление Black-T, следуя традиционной тактике, методам и процедурам (TTP) TeamTnT для нацеливания на открытые API-интерфейсы демонов Docker и выполнения операций сканирования и криптоджекинга в уязвимых системах пользователей и незащищенных организаций. Однако код в образце вредоносного ПО Black-T свидетельствует об изменении TTP для операций TeamTnT.

Наиболее примечательными новыми TTP являются операции нацеливания на ранее неизвестных червей-криптоджекеров и их устранение с последующей заменой собственным ПО для майнинга Monero.

Кроме того, TeamTnT реализует использование инструментов для извлечения паролей в виде открытого текста из систем ОС Windows, а также выполняет операции по передаче хеша и токена, позволяя хакерам перехватывать действия пользователей.

Иными словами Black-T теперь может находить конфиденциальную информацию пользователей (включающую пароли, учетные данные в Интернете и реквизиты банковских счетов), хранящуюся на компьютере, и передавать ее хакерам для незаконного использования и организации атак.

ПО Black-T также получило возможность пользоваться тремя различными инструментами сканирования сети для выявления дополнительных открытых API-интерфейсов демона Docker в локальной сети зараженной системы и любых общедоступных сетях в неограниченном количестве для расширения своего криптоджекинга. 

Также было обновлено действие сетевого сканера masscan, чтобы включить поиск TCP-порта 5555. Хотя точная цель добавления порта 5555 в сканер неизвестна, были задокументированы случаи незаконного майнинга токенов XMR на устройствах на базе Android. 

Unit 42 считает, что участники TeamTnT, скорее всего, продолжат усложнять встраиваемые инструменты для функции выявления уязвимых систем в различных облачных средах с целью незаконного майнинга. Следовательно, могут последовать дальнейшие обновления.

Между тем, в Unit 42 заявили, что защита от атак злоумышленников относительно проста: пользователи не должны допускать попадание файлов с конфиденциальной информацией в Интернет и своевременно обновлять антивирусную защиту компьютера, созданную известным брендом.