O campanie masiva de infectare cu un program care produce Monero este in plina desfasurare!
O campanie de redirecționare a malware-urilor recent descoperită, infectează utilizatorii cu program criptografiere moneda virtuala Monero, a victimizat deja utilizatorii între 15 și 30 de milioane de ori, au raportat cercetătorii.
Atacurile sunt în general efectuate prin combinarea serviciilor de redirecționare cu scurtarea URL-ului Bitly, care prezinta legături false de publicitate ale unor site-uri legitime. Aceste anunțuri au fost difuzate prin Adfly, un serviciu de redirecționare bazat pe anunțuri.
Care este mecanismul de infectare ?
Vizitatorii site-ului care dau clic pe aceste link-uri malitioase consideră că descarcă fișiere, actualizări sau servicii publicate (de exemplu, servicii de partajare de fișiere), dar sunt redirecționati într-un alt domeniu care utilizează un lanț de infecții pentru a descărca XMRig, cazul este folosit neetic pentru a valorifica în mod secret puterea de procesare a victimelor.
Procesul de infectare începe cu descărcarea unui executabil rău intenționat care la rândul său produce un fișier VBS și LNK (acesta din urmă pentru persistență). Fișierul VBS folosește apoi diverse servicii de redirecționare HTTP (înainte de 20 octombrie 2017, a fost folosirea instrumentului BITSAdmin al Microsoft Windows) pentru a descărca și a executa un alt fișier VBS la distanță. Acest fișier secundar VBS amprentează mașina infectată și apoi instalează versiunea corespunzătoare a XMRig.
Deoarece clicurile Bitly pot fi urmărite, cercetătorii unității 42 au reușit să identifice aproximativ 15 milioane de redirecționări ca urmare a acestei campanii.
Sursa : https://www.scmagazine.com/