Исследователь китайской компании Netlab 360 предупредил о возрождении ботнета Satori, который в декабре проводил DDoS-атаки через незащищенные IoT-устройства. Обновленный зловред взламывает популярный майнер криптовалют Claymore и подменяет учетные данные его владельца.

В отличие от нашумевшего Mirai, который атаковал Telnet-порты сетевых устройств через слабые пароли, Satori использовал бреши старых прошивок — как известные, так и уязвимости нулевого дня. По оценкам экспертов, это позволило ему только за первые 12 часов создать базу из более чем 280 тысяч устройств. Спустя две недели эта цифра приблизилась к 700 тысячам. Остановить ботнет удалось совместными усилиями интернет-провайдеров, производителей оборудования и специалистов по ИБ.

В новом исполнении зловред распространяется медленнее. В его коде сохранились два старых эксплойта, а третий, к удивлению аналитиков, оказался не связан с IoT. Теперь злоумышленники используют неизвестную уязвимость майнера Claymore, который добывает токены Ethereum и Decred.

Зловред интересует только первая криптовалюта. Ошибка в коде интерфейса позволяет ему управлять майнером без аутентификации, а именно — подменять номер кошелька, чтобы цифровые деньги отправлялись злоумышленникам.

Автор отчета отметил, что разработчики Satori оставляют в майнере сообщение на случай обнаружения: «Не беспокойтесь, в настоящий момент бот не предпринимает злонамеренные действия». Вопреки ему, Satori уже похитил у пользователей 2,02429555 ETH (чуть больше $2100 на момент публикации).

Аналитики не стали публиковать подробности о бреши Claymore, которую использует зловред. Владельцам майнеров рекомендуется вручную проверить настройки.

Ажиотаж вокруг криптовалют за последний год привлек множество киберпреступников. В одних случаях злоумышленники атакуют уязвимые криптокошельки на персональных компьютерах и смартфонах, присваивая токены на десятки миллионов долларов. Еще чаще преступники скрытно используют пользовательские ресурсы для майнинга — в ход идут трояны, атаки на веб-серверы, зловредные скрипты для сайтов. По оценкам экспертов, в прошлом году атакам нелегальных майнеров подверглись больше половины компаний во всем мире.

Категории: Вредоносные программы, Главное