Malware "Operation Prowli" infiziert über 40.000 Rechner für Krypto-Mining

Das GuardiCore-Sicherheitsteam hat eine böswillige Datenverkehrsmanipulations- und Kryptowährungs-Kampagne entdeckt, so eine Bekanntgabe vom 6. Juni. Die Aktion hat über 40.000 Maschinen in verschiedenen Bereichen infiziert, darunter Finanzen, Bildung und Regierungsbehörden.

Bei der Kampagne Operation Prowli wurden verschiedene Techniken wie Exploits und Passwort-Brute-Force eingesetzt, um Malware zu verbreiten und Geräte wie Webserver, Modems und Internet-of-Things (IoT)-Geräte zu übernehmen. Wie GuardiCore herausgefunden hat, waren die Angreifer hinter Prowli eher darauf ausgerichtet, Geld zu verdienen und nicht auf Ideologie oder Spionage.

Dem Bericht zufolge wurden die kompromittierten Geräte mit einem Monero (XMR) Miner und dem r2r2 Wurm infiziert, einer Malware, die SSH Brute-Force-Angriffe von den gehackten Geräten aus durchführt und das Prowli-Netz unterstützt, um neue Opfer zu treffen. Durch die zufällige Generierung von IP-Adressblöcken versucht r2r2, SSH-Logins mit einem User/Passwort-Wörterbuch zu erzwingen, und führt nach dem Einbruch eine Reihe von Befehlen auf das Opfer aus. GuardiCore schreibt:

"Die Angriffe verhielten sich alle gleich und kommunizierten mit demselben C&C-Server, um eine Reihe von Angriffstools namens r2r2 zusammen mit einem Krypto-Währungs-Miner herunterzuladen."

Zusätzlich benutzte Cybercrooks eine Open-Source-Webshell namens "WSO Web Shell", um auf den kompromittierten Websites bösartigen Code zu hosten, der die Besucher auf ein Verkehrsverteilungssystem und im nöchsten Schritt auf verschiedene andere bösartige Websites umleitet. Au unechten Websites wurden die Benutzer zum Herunterladen bösartiger Browser-Erweiterungen verleitet. Wie das GuardiCore-Team berichtet, ist es Prowli gelungen, mehr als 9.000 Unternehmen zu kompromittieren.

Im vergangenen Monat hatte eine neue Cryptojacking-Malware eine halbe Million Computer missbraucht, um 133 Monero-Token in nur drei Tagen abzubauen. Laut der Cybersicherheitsfirma 360 Total Security stellt die als WinstarNssmMiner bezeichnete Malware eine neue Herausforderung für die Anwender dar, da sie auf infizierten Rechnern sowohl Mining durchführen, diese aber auch zum Absturz bringen kann.