Robak z koparką kryptowaluty zaatakował dyski sieciowe Seagate. Zyski idą w miliony
Malware, które zamienia komputer w koparkę kryptowalut byłocałkiem popularne jeszcze kilka lat temu, kiedy to wyliczaniebitcoinów czy litecoinów za pomocą kart graficznych było jeszczeopłacalne. Potem odeszło w zapomnienie – koparkowy wyścigzbrojeń sprawił, że całe tygodnie pracy maszyn przynosiłygroszowe zyski. Nawet na botnetach nie dało się wyjść na swoje. Ateraz sytuacja znów się zmieniła: za sprawą coraz popularniejszejkryptowaluty Monero (XMR), koparkowe malware znów się opłaca, i cowięcej, zaczęło się roznosić przez urządzenia, których zwyklenie zauważamy, póki robią swoje – na dyskach sieciowych.
Mal/Miner-C, znany także jako PhotoMiner, zaobserwowany zostałpo raz pierwszy w czerwcu tego roku. Rozpowszechniał się jako robakinternetowy po serwerach FTP, za pomocą siłowego ataku z listąnajczęściej stosowanych loginów i haseł. Najnowsza wersjaMal/Miner-C zyskała jednak nowy wektor infekcji, wykorzystującylukę w dyskach NAS Seagate Central. Dość trywialna luka sprawiła,że jak szacują badacze, już 70% podpiętych do Sieci tych urządzeńjest zarażonych.
Jak donosząbadacze firmy Sophos, dyski Seagate Central zawierają bowiempubliczny folder dostępny dla wszystkich użytkowników, takżeanonimowych – i co zabawne, folderu tego nie można ani wyłączyć,ani usunąć. Miner-C poszukuje więc wszystkich publiczniedostępnych dysków sieciowych (a ludzie często udostępniają je wSieci, by mieć przez Internet dostęp do swoich dokumentów czymediów), a następnie kopiuje tam swoje pliki. Wśród nich jestplik Photo.scr, zmodyfikowany tak, by wyglądał na pulpicie Windowsajak normalna ikonka folderu.
Jako że Windows z jakiegoś powodu domyślnie ukrywa rozszerzenianazw plików (doprawdy, to pomysł zasługujący na Nobla!), toużytkownik Seagate Central próbując otworzyć coś, co wyglądajak folder Photo, w rzeczywistości uruchamia skrypt startującykoparkę kryptowaluty Monero. Jej instancje, podpięte do kopalniMoneropool, do tej pory pozwoliły cyberprzestępcom pozyskać niemal60 tys. XMR. Sporo, biorąc pod uwagę, że po obecnym kursie za 1XMR płaci się ponad 13 dolarów.
Sytuacja jest o tyle niezręczna dla użytkowników SeagateCentral, że nie mają żadnego sposobu zabezpieczenia się przedinfekcją. Jedyne co mogą zrobić, to wyłączyć zdalny dostęp doswoich urządzeń przez Internet. To właśnie jednak łatwy zdalnydostęp przez Internet miał być jednym z powodów, dla którego teNAS-y kupili.
