Hello Kitty: вредоносное ПО нацелено на Drupal для криптовалюты
Последняя версия семейства вредоносных программ Kitty нацелена на веб-сайты Drupal, пытаясь добыть криптовалюту.
По словам исследователей из Incapsula из Imperva, Kitty является новейшим вредоносным ПО для атаки на систему управления контентом Drupal (CMS) для цель шифрования ,
Прошло чуть больше месяца с момента выхода Drupalgeddon 2.0 ( CVE-2018-7600 ) Эксплойт был опубликован. Уязвимость, которая считается «крайне критической», - это ошибка удаленного выполнения кода, присутствующая в версиях Drupal 7.x и 8.x.
Уязвимость позволяет субъектам угроз использовать различные векторы атак для взлома сайтов Drupal. Возможны сканирование, реализация бэкдора и майнинг криптовалюты, а также кража данных и взлом аккаунта.
Drupalgeddon 2.0 вызван недостаточной обработкой объектов массивов в основных модулях Drupal, что позволяет выполнять удаленный код. Эта уязвимость стала отправной точкой для других видов вредоносного ПО, внедряющихся в настройках Drupal, включая вредоносное ПО Kitty.
Отличительной особенностью Kitty является то, что не только внутренняя сеть, сервер и сам веб-сайт могут быть скомпрометированы для майнинга криптовалюты, но и вредоносное ПО также нацеливает посетителей на взломанные домены.
Kitty, криптовалюта Monero, которая использует программное обеспечение с открытым исходным кодом для браузеров, выполняет сценарий bash, kdrupal.php, который записывается на диск зараженного сервера. Это затем создает бэкдор в зараженную систему отдельно от уязвимости Drupal.
Затем планировщик периодически перезагружает и выполняет сценарий каждую минуту, что не только приводит к постоянному заражению, но и позволяет злоумышленникам быстро обновлять вредоносное ПО Kitty и зараженные серверы.
Когда сервер находится под жестким контролем злоумышленника, монтер криптовалюты «kkworker» Monero устанавливается и запускается. Любая криптовалюта, добытая с помощью украденной энергии сервера, затем отправляется на кошелек, принадлежащий субъекту угрозы.
Однако одного сервера недостаточно. Вредоносному ПО также приказано заражать другие веб-ресурсы с помощью сценария майнинга, получившего название me0w.js.
Сначала вредоносная программа Kitty попытается изменить index.php - очень распространенный файл в настройках веб-сайта CMS - и добавит его в скрипт me0w.js. Все остальные файлы на основе JavaScript затем сканируются и добавляются в список интеллектуального анализа.
«При этом злоумышленник заражает любого будущего посетителя на сайтах зараженного веб-сервера, чтобы добыть криптовалюту для его удаления», - отмечают исследователи. «Наконец, чтобы завоевать сердца любителей кошек, злоумышленник дерзко просит оставить свою вредоносную программу в одиночестве, напечатав« me0w, не удаляйте, пожалуйста, я безвредный милый маленький котенок, me0w ».»
Смотрите также: Industroyer: детальный взгляд на виновника отключения энергосистемы Украины
Это не первый раз, когда был обнаружен адрес майнинга Monero, используемый в Китти. В начале апреля атаки, направленные на веб-серверы с системой vBulletin 4.2.X CMS, также реализовали Kitty через скомпрометированные веб-серверы vBulletin.
Всякий раз, когда Китти обновляется, оператор добавляет новую версию заметки. Первый обнаруженный вариант был версии 1.5, а последний майнер - версия 1.6.
«Этот тип поведения может указывать на организованного злоумышленника, разрабатывающего свою вредоносную программу как программный продукт, исправляющего ошибки и периодически выпускающего новые функции», - добавили исследователи.
Предыдущее и связанное покрытие
Похожие
Параграфы Drupal: не ваша основная страница... drupal.org/project/paragraphs"> Пункты Этот модуль является ответом на многие болевые точки, связанные с типичным WYSIWYG редактор: Распространенные проблемы WYSIWYG Невозможность добавить богатый контент (галереи, аккордеоны, фоны параллакса и т. Д.) Неправильная разметка и / или нежелательные встроенные стили Клиентская путаница и вообще, страницы, которые