Новая версия ботнета Prometei заразила более 10 тысяч систем по всему миру

Новая версия ботнета Prometei заразила более 10 тысяч систем по всему миру

Функционал кроссплатформенного вредоносного ПО постоянно расширяется.

image

С прошлого ноября по март этого года обновлённая версия вредоносного ботнета Prometei заразила более 10 000 систем по всему миру. Заражения носят как географически неизбирательный, так и целенаправленный характер, при этом большинство жертв зафиксировано в Бразилии, Индонезии и Турции.

Prometei, впервые обнаруженный в 2016 году, представляет собой модульный ботнет с большим набором компонентов и несколькими методами распространения, включающие в том числе использование уязвимостей Microsoft Exchange Server. В последнем варианте вредоноса, «Prometei V3», авторы ощутимо прокачали его скрытность в целевой системе.

Мотивы распространения кроссплатформенного ботнета носят в первую очередь финансовый характер, так как зараженные хосты используются для майнинга криптовалюты и сбора учётных данных.

Карта заражений ботнета Prometei

Последовательность атаки следующая: после успешного закрепления в целевой системе выполняется команда PowerShell для загрузки полезной нагрузки ботнета с удаленного сервера. Затем основной модуль Prometei используется для получения фактической полезной нагрузки криптомайнинга и других вспомогательных компонентов.

Некоторые из этих модулей поддержки функционируют как программы-распространители, предназначенные для распространения вредоносного ПО через протокол удаленного рабочего стола (RDP), Secure Shell (SSH) и Samba (SMB).

Prometei v3 также примечателен тем, что использует алгоритм генерации домена (DGA) для создания C2-инфраструктуры. Кроме того, он содержит механизм самообновления и расширенный набор команд для сбора конфиденциальных данных и захвата хоста.

И последнее, но не менее важное: вредоносная программа развертывает веб-сервер Apache, связанный с веб-оболочкой на основе PHP, которая способна выполнять команды в кодировке Base64 и выполнять загрузку файлов.

«Это недавнее добавление новых возможностей указывает на то, что операторы Prometei постоянно обновляют ботнет и добавляют новые функции», — заявили исследователи компании Cisco Talos .

Антивирус для мозга!

Лечим цифровую неграмотность без побочных эффектов

Активируйте защиту — подпишитесь