Da kryptovaluta er gode penger i disse dager, er det også lokket å installere gruvearbeidere på servere uten eierens tillatelse. Å tjene kryptovaluta krever prosessorkraft, noe som inspirerte hackere til å snike gruvearbeidere til andres maskinvare og få ofrene til å gjøre alt arbeidet i stedet. En nylig del av malware kalt SpeakUp bruker bakdørangrep for å få en gruvearbeider til servere som kjører Linux. Dette er spesielt bekymringsfullt, da programvaren som SpeakUp målretter utgjør omtrent 90% av de beste en million domenene i USA!
Hvordan SpeakUp fungerer
SpeakUp fungerer ved å utnytte en feil i ThinkPHP. Når den er inne, skaper den en bakdør som lar den kontakte en hovedkontrollserver. Den varsler kontrollserveren om at den har hevdet et nytt offer. Kontrollserveren logger bruddet i sin database med kompromitterte servere, slik at den holder oversikt over alle stedene den har kontroll over. Kontrollserveren sender deretter skadelig programvare noen instruksjoner om hva du skal gjøre videre.
For øyeblikket ser SpeakUp ut til å bare være interessert i å installere kryptovaluta-gruvearbeidere på serverne den infiserer. Det bruker Monero som valgvaluta og har i skrivende stund klart å samle rundt $ 4500 bare fra disse angrepene. Det gir seg selv forhøyede tillatelser, slik at den kan installere seg selv på en måte som gjør at den kan fortsette gjennom omstart.
En av de mer bekymringsfulle egenskapene til SpeakUp er hvordan den sprer seg. Den ser aktivt etter nettverk som er koblet til serveren den infiserte. Hvis den finner en som har samme feil, angriper den automatisk og sprer seg til den serveren. Dette gjør det veldig vanskelig å virkelig inneholde og stoppe, da det er i stand til å spre seg alene.
Hvor langt har det spredt seg?
For øyeblikket fokuserer SpeakUp på å angripe et sårbarhet som finnes i kun kinesiske systemer. Som sådan er de fleste infiserte servere i Kina. Det er imidlertid noen sprutskader på andre asiatiske og søramerikanske land etter at SpeakUp klarte å «hoppe over grensen» mens de lette etter nye nettverk å infisere.
For øyeblikket virker resten av verden noe urørt; Imidlertid kan skadelig programvare bli bedt om å angripe servere ved hjelp av en annen utnyttelse som gjør det mulig å infisere USA-baserte servere, slik at den kanskje ikke blir så inneholdt lenge.
Er gruvedrift alt det gjør?
For øyeblikket, ja; alt det ser ut til å gjøre er å installere en gruvearbeider for å gjøre utvikleren mer Monero. Hovedproblemet er imidlertid hvordan skadelig programvare er satt opp for å utføre oppgaver som sendes til den av kontrollserveren. Mens skadelig programvare bare installerer gruvearbeidere akkurat nå, er det ingenting som hindrer utvikleren i å sende en ny oppgave til infiserte servere.
Dette er det som gjør det til en så bekymringsfull utvikling for disse serverne. Det er ingen som vet hva skadelig programvare er i stand til; alt vi kan fortelle for nå er at den har kapasitet til å ta kommandoer fra en ukjent tredjepart. Hva disse kommandoene kan innebære spesifikt er fortsatt ukjent, men det kan ikke være noe bra!
Å snakke om SpeakUp
Med en ny malware som gjør rundene som treffer de aller fleste toppdomenene, er SpeakUp en ganske stor trussel. Selv om det bare tjener penger for eieren foreløpig, vet man ikke hvordan det vil utvikle seg i fremtiden.
Bekymrer denne nye utviklingen deg? Gi oss beskjed nedenfor.
Bildekreditt: Bleeding Computer