Исследователи обнаружили крупный ботнет, захвативший около 40 тыс. устройств. Вредоносная сеть устанавливает на скомпрометированное оборудование майнеры криптовалюты и управляет трафиком взломанных сайтов. По словам ИБ-экспертов, главной целью стоящих за нападениями злоумышленников является получение прибыли.

Аналитики назвали новый ботнет Prowli. Его атаки направлены на сайты под управлением нескольких CMS, IoT-устройства и серверы с уязвимым программным обеспечением. Киберпреступники эксплуатируют известные бреши, а также применяют подбор паролей для получения root-привилегий.

Эксперты назвали список целей вредоносной сети:

  • Сайты под управлением WordPress (для взлома применяются несколько эксплойтов и подбор пароля администратора)
  • Сайты на CMSJoomla! с установленным расширением K2 (эксплуатируется CVE-2018-7482)
  • Некоторые модели DSL-модемов (используются известные уязвимости)
  • Серверы, применяющие HPData Protector (через ошибку CVE-2014-2623)
  • Установки Drupal, PhpMyAdmin и серверы с открытыми портами SMB (при помощи подбора паролей)
  • Компьютеры с открытыми SSH-портами (через брутфорс-атаку для определения аутентификационных данных)

После заражения устройства ботнет тестирует его производительность, чтобы определить возможность установки майнера криптовалюты или программы для подбора паролей. В качестве полезной нагрузки выступает скрипт для генерации Monero и сетевой червь r2r2. Последний отвечает за взлом SSH-портов и инфицирование новых жертв.

Кроме того, на скомпрометированные сайты внедряется бэкдор для инъекции вредоносного кода. Скрипт перенаправляет некоторых посетителей инфицированного веб-ресурса на фишинговые страницы и другие криминальные площадки.

Администрированием такого трафика занимается сеть BlackTDS, выплачивающая вознаграждение владельцам ботнета. Система нацелена на распространение зловредов и способна подбирать эксплойт-паки в соответствии с параметрами устройства и программным обеспечением жертвы.

По информации экспертов, за BlackTDS стоит криминальный сервис EITest, c 2011 года распространяющий вымогатели и другие вредоносные программы. Весной этого года специалистам по компьютерной безопасности удалось пресечь деятельность сети, подменив ее командный сервер, однако это не остановило владельцев Prowli.

Кампания не имеет ограничений по территориальному признаку и заражает компьютеры и серверы по всему миру. Как отмечают эксперты, инфицированными оказались около 9 тыс. корпоративных сетей. Признаками активности Prowil на компьютере может служить наличие в памяти процессов с именами r2r2 и xm11, а администраторов уязвимых сайтов должен насторожить обмен трафиком с доменами wp.startreceive[.]tk и stats.startreceive[.]tk.

Категории: Вредоносные программы, Главное, Мошенничество, Хакеры