Hello Kitty: вредоносное ПО нацелено на Drupal для криптовалюты

Файл Фото

Последняя версия семейства вредоносных программ Kitty нацелена на веб-сайты Drupal, пытаясь добыть криптовалюту.

По словам исследователей из Incapsula из Imperva, Kitty является новейшим вредоносным ПО для атаки на систему управления контентом Drupal (CMS) для цель шифрования ,

Прошло чуть больше месяца с момента выхода Drupalgeddon 2.0 ( CVE-2018-7600 ) Эксплойт был опубликован. Уязвимость, которая считается «крайне критической», - это ошибка удаленного выполнения кода, присутствующая в версиях Drupal 7.x и 8.x.

Уязвимость позволяет субъектам угроз использовать различные векторы атак для взлома сайтов Drupal. Возможны сканирование, реализация бэкдора и майнинг криптовалюты, а также кража данных и взлом аккаунта.

Drupalgeddon 2.0 вызван недостаточной обработкой объектов массивов в основных модулях Drupal, что позволяет выполнять удаленный код. Эта уязвимость стала отправной точкой для других видов вредоносного ПО, внедряющихся в настройках Drupal, включая вредоносное ПО Kitty.

Отличительной особенностью Kitty является то, что не только внутренняя сеть, сервер и сам веб-сайт могут быть скомпрометированы для майнинга криптовалюты, но и вредоносное ПО также нацеливает посетителей на взломанные домены.

Kitty, криптовалюта Monero, которая использует программное обеспечение с открытым исходным кодом для браузеров, выполняет сценарий bash, kdrupal.php, который записывается на диск зараженного сервера. Это затем создает бэкдор в зараженную систему отдельно от уязвимости Drupal.

Затем планировщик периодически перезагружает и выполняет сценарий каждую минуту, что не только приводит к постоянному заражению, но и позволяет злоумышленникам быстро обновлять вредоносное ПО Kitty и зараженные серверы.

Когда сервер находится под жестким контролем злоумышленника, монтер криптовалюты «kkworker» Monero устанавливается и запускается. Любая криптовалюта, добытая с помощью украденной энергии сервера, затем отправляется на кошелек, принадлежащий субъекту угрозы.

Однако одного сервера недостаточно. Вредоносному ПО также приказано заражать другие веб-ресурсы с помощью сценария майнинга, получившего название me0w.js.

Сначала вредоносная программа Kitty попытается изменить index.php - очень распространенный файл в настройках веб-сайта CMS - и добавит его в скрипт me0w.js. Все остальные файлы на основе JavaScript затем сканируются и добавляются в список интеллектуального анализа.

«При этом злоумышленник заражает любого будущего посетителя на сайтах зараженного веб-сервера, чтобы добыть криптовалюту для его удаления», - отмечают исследователи. «Наконец, чтобы завоевать сердца любителей кошек, злоумышленник дерзко просит оставить свою вредоносную программу в одиночестве, напечатав« me0w, не удаляйте, пожалуйста, я безвредный милый маленький котенок, me0w ».»

Смотрите также: Industroyer: детальный взгляд на виновника отключения энергосистемы Украины

Это не первый раз, когда был обнаружен адрес майнинга Monero, используемый в Китти. В начале апреля атаки, направленные на веб-серверы с системой vBulletin 4.2.X CMS, также реализовали Kitty через скомпрометированные веб-серверы vBulletin.

Всякий раз, когда Китти обновляется, оператор добавляет новую версию заметки. Первый обнаруженный вариант был версии 1.5, а последний майнер - версия 1.6.

«Этот тип поведения может указывать на организованного злоумышленника, разрабатывающего свою вредоносную программу как программный продукт, исправляющего ошибки и периодически выпускающего новые функции», - добавили исследователи.

Предыдущее и связанное покрытие

Похожие

Параграфы Drupal: не ваша основная страница
... drupal.org/project/paragraphs"> Пункты Этот модуль является ответом на многие болевые точки, связанные с типичным WYSIWYG редактор: Распространенные проблемы WYSIWYG Невозможность добавить богатый контент (галереи, аккордеоны, фоны параллакса и т. Д.) Неправильная разметка и / или нежелательные встроенные стили Клиентская путаница и вообще, страницы, которые