Dávno jsou pryč doby, kdy tvůrcům škodlivých aplikací stačila ke spokojenosti skutečnost, že se jejich kód rozšířil po celém světě. Dnes je hlavním „hnacím motorem“ finanční profit. Proto uživatelé musí stále častěji čelit ransomwaru, požadujícímu výkupné za dešifrování souborů, nebo malwaru, který využívá hardwarové prostředky k těžbě kryptoměn.
Jedním ze základních předpokladů úspěchu těchto aplikací je jejich nenápadnost. Pokud by uživatel zaznamenal, že se s jeho zařízením něco děje, mohl by začít situaci řešit a tím překazit plány ziskuchtivých tvůrců. Jednou z cest je zneužívání chytrých zařízení ze segmentu internetu věcí (IoT), která často běží nepřetržitě, aniž by jim uživatel věnoval pozornost.
Škodlivá aplikace pro chytré spotřebiče
Právě touto cestou se vydali autoři malwaru, jehož cílem byla těžba kryptoměn. Napsali aplikaci pro zařízení s technologií Arm, která se úspěšně šířila a přinášela kýžený zisk. Jenže výkon chytrých spotřebičů bývá zpravidla nesrovnatelný s výkonem počítačů, a jak se říká: s jídlem roste chuť.
Vedoucí výzkumu společnosti Akamai Larry Cashdollar oznámil objev malwaru, jež byl původně určen pro zařízení IoT. To bylo nejspíš jeho autorům málo, proto do světa vypustili verzi pro servery s procesory Intel a operačním systémem na linuxové bázi.
„Mám podezření, že je to pravděpodobně derivát jiných kryptografických těžebních botnetových systémů pro IoT,“ uvedl Cashdollar pro server The Register. „Vypadá to, že se tato verze zaměřuje na podnikové systémy.“
Těžba kryptoměn na serverech
Škodlivá aplikace je optimalizována pro běh na serverových procesorech a snaží se navázat spojení na portu 22, určený pro SSH komunikaci, přes který se dostává na další cílové zařízení. Následně zkontroluje, zda byl daný počítač již infikován, případně jestli na něm běží aktuální verze.
Po tomto kroku se malware pokusí nainstalovat samotný těžební nástroj a upravit soubor crontab hostitelského systému, aby si zajistil, že se spustí i po restartu. K těžbě kryptoměn používá aplikaci XMrig ve verzi 2.14.1 ve 32- i 64bitovém formátu. Některé z binárních souborů jsou pojmenovány podle běžných unixových nástrojů – cílem je snaha snížit šanci na odhalení zobrazením seznamu běžících procesů.
