seostock
18.09.2018, 13:01
Новый ботнет Fbot удаляет криптомайнеры с зараженных устройств.
Эксперты компании Qihoo 360Netlabобратили внимание (https://blog.netlab.360.com/threat-alert-a-new-worm-fbot-cleaning-adbminer-is-using-a-blockchain-based-dns-en/)на довольно необычный ботнет, появившийся в интернете. Ботсеть создана на основе варианта вредоносного ПО Mirai под названием Fbot. Удивление специалистов вызвал тот факт, что несмотря на наличие оригинального DDoS-модуля, активность ботнета пока далека от вредоносной - Fbot ищет зараженные программами для добычи криптовалюты устройства и удаляет их. В частности, речь идет о com.ufo.miner - известном варианте ADB.Miner, предназначенном для майнинга Monero на Android-устройствах.
Fbot сканирует сеть на предмет устройств с открытым портом 5555, используемым службой ADB (Android Debug Bridge, отладочный мост), а затем загружает скрипт через интерфейс ADB. Одна из функций скрипта заключается в удалении com.ufo.miner, а вторая - в загрузке основного модуля Fbot, в который вшиты данные для коммуникации с C&C-сервером. Третья функция отвечает за самоуничтожение.
Еще одна особенность ботнета заключается в использовании альтернативной децентрализированной системы доменных имен Emer DNS, затрудняющей отслеживание доменов. По словам экспертов, управляющий сервер использует домен в зоне .lib (musl.lib), которая не зарегистрирована ICANN.
В настоящее время неясно, с какой целью операторы ботнета удаляют криптомайнеры и вместо них загружают ПО Fbot. Вполне возможно, таким образом они намереваются избавиться от конкурентов.
Emer DNS - децентрализованная система доменных имен на базе блокчейна EmerCoin - платформы, предлагающей услуги по регистрации доменных имен в альтернативных зонах .bazar, .coin, .emc, .lib.
https://www.securitylab.ru/news/495625.php (https://www.securitylab.ru/news/495625.php?ref=123)
Эксперты компании Qihoo 360Netlabобратили внимание (https://blog.netlab.360.com/threat-alert-a-new-worm-fbot-cleaning-adbminer-is-using-a-blockchain-based-dns-en/)на довольно необычный ботнет, появившийся в интернете. Ботсеть создана на основе варианта вредоносного ПО Mirai под названием Fbot. Удивление специалистов вызвал тот факт, что несмотря на наличие оригинального DDoS-модуля, активность ботнета пока далека от вредоносной - Fbot ищет зараженные программами для добычи криптовалюты устройства и удаляет их. В частности, речь идет о com.ufo.miner - известном варианте ADB.Miner, предназначенном для майнинга Monero на Android-устройствах.
Fbot сканирует сеть на предмет устройств с открытым портом 5555, используемым службой ADB (Android Debug Bridge, отладочный мост), а затем загружает скрипт через интерфейс ADB. Одна из функций скрипта заключается в удалении com.ufo.miner, а вторая - в загрузке основного модуля Fbot, в который вшиты данные для коммуникации с C&C-сервером. Третья функция отвечает за самоуничтожение.
Еще одна особенность ботнета заключается в использовании альтернативной децентрализированной системы доменных имен Emer DNS, затрудняющей отслеживание доменов. По словам экспертов, управляющий сервер использует домен в зоне .lib (musl.lib), которая не зарегистрирована ICANN.
В настоящее время неясно, с какой целью операторы ботнета удаляют криптомайнеры и вместо них загружают ПО Fbot. Вполне возможно, таким образом они намереваются избавиться от конкурентов.
Emer DNS - децентрализованная система доменных имен на базе блокчейна EmerCoin - платформы, предлагающей услуги по регистрации доменных имен в альтернативных зонах .bazar, .coin, .emc, .lib.
https://www.securitylab.ru/news/495625.php (https://www.securitylab.ru/news/495625.php?ref=123)