Пристрої Linux знаходяться під загрозою через безфайловий вірус XMR
Дата: 2023-07-15 Автор: Karina Ziganova Категорії: КРИПТО ПЛАТЕЖІ, В СВІТІ
Вірус під назвою PyLoose навчився ховатися в оперативній пам'яті пристроїв для безслідного XMR майнінгу
Вірусний сценарій Python під назвою PyLoose націлений на операційну систему Linux для видобутку криптовалюти monero (XMR). Про це пишуть аналітики IT-фірми Wiz. Як з'ясували фахівці, скрипт ховається в пам'яті пристроїв, що вкрай ускладнює його виявлення антивірусами. За даними дослідників, з червня 2023 року вірус встиг здійснити не менше двохсот атак. Хто саме може стояти за розвитком вірусу, неясно.
Wiz вважає, що це перший в історії задокументований випадок безфайлового шкідливого вірусу на основі Python. Вірус заражає пристрої жертв через хмару. На момент написання статті фахівці з'ясували, що вірус часто використовується через веб-ноутбук з підтримкою компіляції коду під назвою Jupyter Notebook.
Для здійснення атаки зловмисник відправляє запит GET на завантаження шкідливого коду на пристрій жертви. У разі успішного підключення вірус завантажується прямо в оперативну пам'ять, а звідти запускається прихований майнер XMRig для Майнінг криптовалюта через пул MoneroOcean.
Аналітики закликали користувачів уникати контактів з веб-сервісами, які можуть компілювати і запускати код через хмару. Власникам Linux-систем Wiz порадив обмежити виконання системних команд.
У травні редакція написала, що пристроям на базі macOS також загрожує новий вірус, який краде інформацію, в тому числі дані з криптовалютних гаманців. Аналітики лабораторії Cyble з'ясували, що вірус під назвою Atomic (AMOS) поширюється через модель підписки через Telegram. Ціна підписки становить 1000 доларів США на місяць. Сам вірус зберігається у вигляді файлу .dmg. Він заснований на шкідливих скриптах, заснованих на мові Go.
Вірус краде паролі, файли з локальної системи, файли cookie, а також дані кредитних карт, які можуть зберігатися в браузерах Chrome, Firefox, Brave, Edge, Opera, Яндекс, Vivaldi і OperaGX. Вірус також полює за даними з розширень браузера, таких як MetaMask, Phantom, Coinbase, Trust Wallet і гаманців, таких як Electrum, Binance, Exodus, Atomic Wallet, Coinmi, Guarda, TronLink, Trezor і так далі.
