В Сети распространяется новый зловред Monero, эксплуатирующий баг под названием EternalRomance для внедрения майнера криптовалюты. Об этом сообщает издание ZDNet. Вредонос получил название PyRoMine, поскольку он написан на языке Python и использует уязвимость EternalRomance.

Зловред проникает на компьютер в виде ZIP-файла и программы для сборки автономных приложений PyInstaller. Это позволяет майнеру запускаться на устройствах, где не установлен Python. После установки вредонос начинает красть вычислительные мощности компьютера у ничего не подозревающей жертвы.

Исследователей тревожит, что PyRoMine создает на зараженном компьютере скрытый аккаунт с правами администратора, используя пароль «P@ssw0rdf0rme», и запускает протокол удаленного рабочего стола. Эксперты считают, что это может привести к повторному заражению и последующим атакам.

В качестве цели PyRoMine выбирает компьютеры под управлением ОС Windows, начиная с Windows XP для настольных компьютеров и Windows Server 2003 для серверов — в них присутствуют уязвимости CVE-2017-0144 и CVE-2017-0145.

Несмотря на то что их пропатчили еще год назад, многие устройства и сегодня находятся под угрозой, поскольку пользователи пропускают обновления защиты.

Уязвимость EternalRomance позволяет удаленно выполнять код и эксплуатирует устаревший протокол передачи файлов SMBv1, который обычно используется в локальных корпоративных сетях. Однако примеры распространения WannaCry и NotPetya говорят о том, что через SMBv1 зловреды часто проникают в Сеть.

Исходя из того что на данный момент PyRoMine удалось заработать всего лишь 650 долларов, аналитики делают вывод, что он находится на начальной стадии распространения. Но, по мнению аналитиков FortiGuard Labs, ситуация может резко измениться.

Во-первых, о планах преступников построить обширную сеть говорит отказ от Bitcoin в пользу Monero. Особенность этой криптовалюты — низкие требования к «железу» жертвы. Если для получения биткойнов подходят лишь компьютеры с мощным графическим процессором, то Monero можно добывать и на офисном ПК. Таким образом, злоумышленники получают обширную базу для распространения. Во-вторых, преступникам на руку отсутствие интереса к установке соответствующих патчей безопасности у большинства пользователей, считают эксперты.

Помимо PyRoMine исследователям удалось обнаружить еще несколько майнеров, чьи создатели воспользовались базой АНБ. В их числе Adylkuzz, Smominru и WannaMine, которые используют уязвимость EternalBlue.

Категории: Аналитика, Вредоносные программы, Мошенничество, Уязвимости, Хакеры