Новый вредоносный майнер Monero

Новая форма вредоносного ПО использует слитые в прошлом году эксплойты для Windows Агенства национальной безопасности США. Об этом сообщает Zdnet.
Исследователь из компании Fortinet изучал вредоносный веб-майнер Monero, известный как PyRoMine, который написан на языке Python. Он появился в этом месяце и распространяется с использованием EternalRomance, слитого эксплойта АНБ, который пользуется одноимённой уязвимостью протокола SMB. Она во многом похожа на EternalBlue, задействованную в распространении вредоносного ПО WannaCry в мае 2017 года, а также в распространении Petya в июне 2017 года. Оба эксплойта ищут публичные SMB-порты, позволяющие им распространять вредоносное ПО в сети.
Исследователи обнаружили, что вредоносная программа была загружена с определённого веб-адреса в виде zip-файла в комплекте с программой Pyinstaller, которая упаковывает программы, написанные на Python, в автономные исполняемые файлы. Таким образом, нет необходимости устанавливать Python на скомпрометированную машину. Вредоносный код, лежащий в основе PyRoMine, был скопирован из общедоступной реализации EternalRomance.
Как только PyRoMine загружается на машину, запускается вредоносный VBScript для доступа к протоколу удалённого рабочего стола (RDP). В дополнение к этому вредоносное ПО также останавливает обновления Windows и позволяет передавать незашифрованные данные.
Отключение программного обеспечения, отвечающего за безопасность, позволяет злоумышленникам устанавливать дополнительные вредоносные программы (не только майнер) после манипуляций с RDP. Майнер зарегистрирован как служба под названием SmbAgentService в файле svchost.exe.