Обнаружен ботнет, который уничтожает скрытые майнеры

Скрытый ботнет Fbot, который уничтожает вредоносное программное обеспечение для майнинга, исследовали специалисты по кибербезопасности компании Qihoo 360Netlab. С какими целями он создан, пока неясно, пишет CoinDesk.

Fbot — вариация ботнета Satori, в основе которого лежит платформа Mirai. Её часто используют для DdoS-атак.

Но в Fbot модуль для атак деактивирован. Вместо этого в него встроена функция поиска устройств с установленным ПО для скрытого майнинга.

Fbot разработан для майнинга на устройствах под управлением Android. Он сканирует устройства и ищет вредоносную программу com.ufo.miner, являющуюся вариацией майнера Monero под названием ADB.Miner.

Ботнет отправляет программу через открытые порты и удаляет com.ufo.miner. Затем он продолжает сканировать сеть и распространяется по ней, устанавливается поверх вредоносного ПО, уничтожает его и самоуничтожается.

Эксперты обратили внимание, что вместо стандартной системы доменных имен (DNS) ботнет использует децентрализованную альтернативу EmerDNS. За счет этого адреса Fbot сложнее отследить и закрыть. Эксперты добавили:

Выбор Fbot в пользу EmerDNS вместо традиционной DNS довольно интересен. Это подняло планку для экспертов кибербезопасности, которым сложно отслеживать такой ботнет (системы безопасности не справляются, поскольку ищут лишь по традиционным DNS-именам).

Есть версия, что Fbot уничтожает конкурентов, чтобы затем запустить самую мощную сеть для скрытого майнинга. Но сейчас он приносит только пользу.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.