Prowli惡意軟件感染逾4萬台機器被不法分子用來挖礦

據6月6日發布的公告,GuardiCore安全團隊發現了惡意的流量操縱和加密貨幣挖掘活動,逾4萬台設備被感染,其中包括金融、教育和政府在內的各行各業。

Operation Prowli使用如漏洞攻擊和密碼強行破解等各種技術來傳播惡意軟件,並接管諸如網絡服務器、調製解調器和物聯網等設備。GuardiCore發現發起Prowli攻擊的犯罪分子只專注賺錢,而不是意識形態或間諜活動。

據報道,受攻擊的設備感染了門羅幣(XMR)礦工和r2r2蠕蟲病毒,這是一種惡意攻擊軟件,能從被攻擊的設備中執行SSH暴力攻擊,並通過Prowli攻擊來影響新的受害者。換句話說,r2r2通過隨機生成IP地址嘗試使用用戶密碼強制SSH登錄,攻擊成功後對感染設備運行一系列命令。GuardiCore透露:

“這些攻擊都以相同的方式進行,通過共同的C&C服務器通信並下載大量r2r2病毒以及加密貨幣挖掘程序。”

此外,網絡犯罪分子還使用開源webshell插件“WSO Web Shell”來修改受攻擊的網站來託管惡意代碼,將網站訪問者重新導向一個流量分配系統,然後將其重定向到其他惡意網站。一旦重定向到虛假網站,用戶就會成為點擊惡意瀏覽器擴展的受害者。GuardiCore團隊報告說,Prowli設法讓9,000多家公司妥協。

上個月,一個新的加密惡意軟件在三天內通過50萬台電腦來挖掘133個門羅幣。網絡安全公司360發現,WinstarNssmMiner惡意軟件給用戶帶來了新挑戰,因為它能同時挖掘和摧毀受感染的設備。