成千上万的希捷NAS盒主持加密货币挖掘恶意软件
犯罪分子将使用数千名可公开访问的FTP服务器,包括来自希捷网络附加存储设备的许多服务器,以托管加密货币挖掘恶意软件。
Security供应商Sophos的研究人员在调查了一个被称为MAL / MINER-C的恶意程序时发现了该发现,这让您感染了Windows计算机并劫持其CPU和GPU来生成Monero,这是一个比特币启发的加密电脑。
通过大多数加密货币,用户可以通过将其计算资源致力于解决验证网络中交易所需的复杂数学问题来生成新的单元。这个过程称为“挖掘”,为攻击者劫持了其他人的计算机并为自己的收益使用它们来提供激励。
比特币挖掘恶意软件过去几年前普遍存在,但随着加密货币的网络增长,矿业变得更加困难 - 并使用有限的计算资源有限的个人计算机停止盈利。一些恶意软件作家,如Mal / Miner-C背后,现在将注意力转向更新的加密货币,如Monero,这更容易我的。
Sophos研究人员发现,MAL / MINER-C没有自动感染机制,而是依赖于用户执行恶意程序。因此,它是通过受损网站下载的通过下载分发,并通过打开的FTP服务器。
攻击者扫描可从Internet访问的FTP服务器,并尝试使用默认和弱凭证或匿名帐户登录。如果成功,他们验证了他们在服务器上写入访问,并在所有可用目录中复制恶意软件。
这解释了为什么Sophos在过去六个月内计算出超过170万的MAL / MINER-C检测,从大约3,000个系统到六个月。大多数受影响的系统是托管不同目录中的Mallware的多个副本的FTP服务器。
研究人员使用互联网扫描引擎,称为Censys,以识别允许与写权限匿名访问的公共FTP服务器。他们发现了7,263个这样的服务器,并确定了5,137人被Mal / Miner-C污染。
另一个有趣的发现是,许多FTP服务器正在希捷中央NAS设备上运行。虽然这种恶意软件威胁没有专门针对此类设备,但事实证明Seagate Central的配置使用户更容易将不安全的FTP服务器暴露给Internet。
默认情况下,Seogate Central NAS系统提供用于共享数据的公用文件夹,Sophos研究人员在星期五发布的一篇文章中表示。此公用文件夹无法禁用;如果设备管理员允许远程访问设备,则会对互联网上的任何人都可以访问。
MAL / MINER-C受到损害的FTP服务器包含两个文件,名为photo.scr和info.zip。photo.scr是一个Windows可执行文件,但其图标伪装为Windows文件夹,以欺骗用户意外执行它。