Вирус, предназначенный для скрытого майнинга криптовалюты, научился воровать с инфицированных серверов учетные данные Amazon Web Services (AWS).

Специалисты по информационной безопасности из Cado Security обнаружили криптовалютного червя, который не только заражает устройства вредоносными программами для майнинга цифровых монет, но также ищет в интернете неправильно сконфигурированные или незащищенные платформы Docker и Kubernetes, и крадет учетные данные AWS.

Ранее редакция BeInCrypto сообщала о том, что хакеры заразили 10 суперкомпьютеров в Европе и майнили на них Monero.

Как это работает

Сервисы Docker позволяют разработчикам создавать приложения и модули, не привязанные к определенной операционной системе, и не требующие наличия на ней всех библиотек. Они пакуют приложения в виртуальные контейнеры, которые могут выполняться в изолированной Unix-среде.

Обнаружив незащищенные хранилища, злоумышленники разворачивают на них новые контейнеры и загружают скрипты, необходимые для дальнейшей атаки. Если зараженные платформы Docker или Kubernetes работают на инфраструктуре AWS, вирус начинает поиск файлов с учетными данными и информацией о конфигурации аккаунта.

Кто злодей

За созданием червя стоит относительно молодая хакерская группировка TeamTNT, которая специализируется на создании и распространении вредоносных программ для DDoS-атак и майнинга криптовалюты.

По словам экспертов британской Cado Security, компании все чаще переводят свои вычислительные мощности в облако и используют виртуальные контейнеры. Хакеры ориентируются на этот тренд и используют уязвимости новых технологий.

Клонированный червь

Большинство криптовалютных червей, предназначенных для скрытого майнинга, представляют собой разновидность других вирусов. Авторы просто копируют вредоносный код своих конкурентов и немного его дорабатывают под свои задачи. Так червь, созданный TeamTNT, содержит код, заимствованный у другого червя под названием Kinsing, который блокирует защиту Alibaba Cloud.

Экспертам не удалось выяснить, как хакеры используют похищенные учетные данные, при этом они смогли обнаружить два кошелька Monero, связанных с группировкой. На них находится около 3 XMR, а это значит, что по текущему курсу злоумышленники заработали около 300 долларов. Однако следует помнить, что майнеры зачастую используют множество кошельков, чтобы замести следы.