安全公司Sophos的研究人员分析了一个新的恶意软件Mal/Miner-C,它能滥用受感染机器的资源来“开采” Monero (XMR) 数字货币。专家们发现新的恶意软件促使网络附加存储(NAS)设备转变为攻击向量。
MAL / Miner-C的作者控告Nullsoft脚本安装系统(NSIS)脚本语言开发。
MAL/ Miner-C恶意软件有个很有趣的功能——为了传播自己而滥用FTP服务器。 研究者分析的一些样品包括一个叫做tftp.exe,的模块,它能随机产生IP地址,并试着使用预定义的登录凭证列表连接到IP地址中。
如果此恶意软件能够成功连接到一个FTP服务器,此恶意软件会将自身复制到服务器。引用上传到服务器的恶意代码,注入代码会生成一个iframe框架,并因此修改服务器内的html文件和php文件。
Sophos分析报告称:“如果嵌入式凭据能够成功连接到一个FTP服务器,它试图将它自己复制到服务器,并修改现有的Web相关文件扩展名为.htm或.php,企图进一步感染主机的访问者”。
“如果带有以上扩展名的文件被发现了,恶意软件将注入源代码,创建一个iframe,引用文件名为info.zip 或 Photo.scr. ”。
当未知用户访问被感染的网站时,他眼前弹出一个“保存文件”的对话框,无辜的受害者顺势下载并打开其中的恶意软,他们的PC将感染Mal / Miner-C。
Sophos的研究显示,2016年上半年观察研究了超过170万的感染者,但他们只连接到3150个独特的 IP地址,因为恶意软件将其自身复制到一个妥协的FTP服务器的每个文件夹中。
研究人员着重调查互联网上的易受攻击设备。censys 搜索引擎的第一次扫描只识别到全球不足300万台的FTP服务器。
然后,研究人员试图用扫描脚本匿名连接到FTP服务器,以找到“Anonymous FTPs with write access(匿名FTP服务器写入访问)
试验结果如下:
-
FTP服务器原始列表的IP数量:293万2833。
-
FTP服务器主动测试期间,2137万571台活跃的服务器允许20万7110个匿名远程访问。
-
启用写入访问的活跃服务器:7263台。
-
包含Mal/ Miner-C的服务器:5137台。
Mal / Miner-C 感染服务器全球分布
此恶意软件针对不同类型的FTP服务器,但Sophos的专家注意到它主要针对希捷的NAS硬盘。这款NAS提供了一个不能被删除或停用的公共文件夹,攻击者将恶意软件上传至其中,希望它们一旦他被发现即被用户执行。
小心,恶意软件是不能感染该设备,但能扩散感染至其他设备。
专家们还分析到,此运动幕后的网络罪犯通过挖掘被感染设备,预计获利价值8.6万美元的Monero数字货币。
本文由漏洞银行(BUGBANK.cn)小编 Feya 编译,源文译自securityaffairs.co链接:http://www.bugbank.cn/news/detail/57d6617cabe7429e77eaf41b.html
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
扫一扫
9798
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
