En farlig botnet kalt H2Miner har dukket opp igjen. Den kaprer datamaskiner for å hemmelig mine Monero (XMR) og, i noen tilfeller, distribuerer løsepengevirus.
Cybersikkerhetsforskere sier at skadelig programvare har utvidet seg siden den først dukket opp i 2019. Den nye versjonen retter seg nå mot Linux-servere, Windows-desktopper og skybeholdere.
En stille virus kan bruke datamaskinen din til crypto mining
I følge cybersikkerhetsfirmaet Fortinet får angripere tilgang ved å utnytte kjente programvaresårbarheter. Disse inkluderer Log4Shell og Apache ActiveMQ, som mange systemer fortsatt bruker.
Når de er inne, installerer viruset et verktøy kalt XMRig, en legitim open-source miner.
Men i stedet for å be om tillatelse, kjører det i bakgrunnen og bruker datamaskinens prosesseringskraft for å tjene Monero for hackerne.
H2Miner bruker også smarte skript for å deaktivere antivirusverktøy. Det dreper også andre minere som allerede kan kjøre på systemet.
Deretter sletter det alle spor av sine handlinger. På Linux installerer det en cron-jobb som laster ned skadelig programvare på nytt hvert 10. minutt.
På Windows setter det opp en oppgave som kjører stille hvert 15. minutt.
En ransomware-vri gir mer skade
Viruset stopper ikke ved kryptomining. En ny nyttelast, kalt Lcrypt0rx, kan også låse datamaskinen din.
Det bruker en enkel, men destruktiv metode for å overskrive Master Boot Record—en nøkkelkomponent i datamaskinen din som kontrollerer oppstart. Dette kan forhindre systemet fra å starte riktig.
Løsepengeviruset legger også til falske systeminnstillinger for å skjule seg selv og skape vedvarende tilstedeværelse.
Kampanjen utnytter billige skyservere og feilkodede tjenester. Når en maskin er infisert, skanner skadelig programvare etter andre systemer å infisere—spesielt Docker-beholdere og skyplattformer som Alibaba Cloud.
Det sprer seg også gjennom USB-stasjoner og går gjennom antivirusprosesser, og dreper dem en etter en.
Sikkerhetseksperter advarer om at fjerning av H2Miner krever en grundig opprydding. Du må slette alle relaterte cron-jobber, planlagte oppgaver og registeroppføringer.
Hvis selv ett skjult skript overlever, kan botnetet installere seg selv på nytt og gjenoppta mining av Monero i hemmelighet.
Hva tradere og kryptobrukere bør vite
Dette angrepet retter seg ikke direkte mot kryptolommebøker. I stedet stjeler det datakraft for å generere nye Monero coins for angriperne.
Risikoen er spesielt høy for selvhostede noder, skyminere og uadministrerte VPS-tjenester.
Hvis systemet ditt blir varmt eller sakker ned uventet, kan det være lurt å sjekke for uvanlige prosesser som sysupdate.exe eller gjentakende utgående tilkoblinger.
Moneros personvernfunksjoner gjør det attraktivt for angripere. Men for brukere er den virkelige risikoen å miste kontrollen over enhetene dine—og uvitende finansiere kryptokriminalitet.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.