Фахівці компанії «Доктор Веб» виявили в серверних програмах Cleverence Mobile SMARTS Server вразливість нульового дня. Розробники програми випустили оновлення для усунення цієї вразливості, проте її досі використовують зловмисники для видобутку криптовалют.

Додатки сімейства Cleverence Mobile SMARTS Server створені для автоматизації магазинів, складів, різних установ та виробництв. Вони призначені для роботи на комп'ютері під керуванням Microsoft Windows. Наприкінці липня минулого року фахівці компанії "Доктор Веб" виявили критичну вразливість в одному з компонентів Cleverence Mobile SMARTS Server, з використанням якої зловмисники отримують несанкціонований доступ до серверів і встановлюють на них троянців сімейства Trojan.BtcMine, призначених для видобутку (майнінгу) криптовал. Про цю вразливості ми негайно повідомили розробників програмного комплексу.

Спочатку кіберзлочинці використовували кілька версій майнера, що детектуються антивірусом Dr.Web як Trojan.BtcMine.1324, Trojan.BtcMine.1369 та Trojan.BtcMine.1404. На сервер, на якому працює Cleverence Mobile SMARTS Server, зловмисники відправляють спеціальним чином сформований запит, в результаті чого відбувається виконання команди, що міститься в цьому запиті. Зломщики використовують команду для створення в системі нового користувача з адміністративними привілеями та отримують від його імені несанкціонований доступ до сервера за протоколом RDP. У деяких випадках за допомогою утиліти Process Hacker кіберзлочинці завершують процеси антивірусів, що працюють на сервері. Отримавши доступ до системі, вони встановлюють у ній троянця-майнера.

Цей троянець є динамічною бібліотекою, яку кіберзлочинці зберігають у тимчасову папку і потім запускають. Шкідлива програма замінює собою одну з легітимних системних служб Windows, вибираючи «жертву» за низкою параметрів, при цьому файл оригінальної служби видаляється. Потім шкідлива служба отримує ряд системних привілеїв та встановлює для свого процесу прапор критичного. Після цього троянець зберігає на диск необхідні для своєї роботи файли і починає майнінг криптовалюти, використовуючи апаратні ресурси інфікованого сервера.

Незважаючи на те, що розробники Cleverence Mobile SMARTS Server вчасно випустили оновлення, що закриває вразливість у програмному комплексі, багато адміністраторів серверів не поспішають з його встановленням, чим користуються зловмисники. Кіберзлочинці продовжують встановлювати на зламані сервери троянців-майнерів, постійно модифікуючи їх версії. З другої половини листопада 2017 року зловмисники почали використовувати принципово нового троянця, якого вони вдосконалюють і сьогодні. Ця шкідлива програма отримала назву Trojan.BtcMine.1978, вона призначена для видобутку криптовалютів Monero (XMR) і Aeon.

Майнер запускається як критично важливий системний процес з відображеним ім'ям «Plug-and-Play Service», при спробі завершити який Windows аварійно припиняє роботу і демонструє «синій екран смерті» (BSOD). Після запуску Trojan.BtcMine.1978 намагається видалити служби антивірусів Dr.Web, Windows Live OneCare, «Антивіруса Касперського», ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security та Windows Defender. Потім майнер шукає запущені на комп'ютері, що атакується, процеси антивірусних програм. У разі успіху він розшифровує, зберігає на диск та запускає драйвер, за допомогою якого намагається завершити ці процеси. Антивірус Dr.Web успішно виявляє та блокує драйвер Process Hacker, який використовує Trojan.BtcMine.1978, - цей драйвер був доданий до вірусних баз Dr.Web як хакерська утиліта (hacktool ).

Отримавши зі своєї конфігурації список портів, Trojan.BtcMine.1978 шукає в мережному оточенні роутер. Потім за допомогою протоколу UPnP він перенаправляє TCP-порт роутера на порти з отриманого списку і підключається до них в очікуванні з'єднань за протоколом HTTP. Необхідні для своєї роботи налаштування шкідлива програма зберігає у системному реєстрі Windows.

У тілі майнера міститься список IP-адрес керуючих серверів, які він перевіряє з метою виявити активний. Потім троянець налаштовує на зараженій машині проксі-сервери, які використовуватимуться для видобутку криптовалюту. Також Trojan.BtcMine.1978 за командою зловмисників запускає оболонку PowerShell і перенаправляє її введення-виведення на віддаленого користувача, що підключається до скомпрометованого вузла. Це дозволяє зловмисникам виконувати на зараженому сервері різні команди.

Виконавши ці дії, троянець вбудовує у всі запущені процеси модуль, призначений для видобутку криптовалют. Перший процес, в якому цей модуль починає роботу, буде використовуватися для майнінгу Monero (XMR) та Aeon.

Незважаючи на те, що Trojan.BtcMine.1978 має механізм, що дозволяє примусово завершувати процеси антивірусних програм, наші користувачі можуть почуватися в безпеці, оскільки самозахист Антивірусу Dr.Web не дає троянцю порушити роботу критично важливих компонентів. Адміністраторам серверів, які використовують Cleverence Mobile SMARTS Server, фахівці компанії «Доктор Веб» рекомендують встановити всі випущені розробниками оновлення безпеки.

Інші новини