Команда Akamai Security Intelligence Response Team (SIRT) обнаружила
новое вредоносное ПО, которое использует SSH-протокол (Secure Shell) для проникновения в целевые системы, чтобы осуществлять майнинг криптовалюты и проводить DDoS-атаки.
Эксперты назвали вредоносное ПО KmsdBot. Оно разработано на основе Golang и нацелено различные компании – от игровых до автомобильных брендов и охранных фирм.
Ботнет заражает системы через SSH-соединение, использующее «слабые» учетные данные для входа в систему. KmsdBot не остается постоянным в зараженной системе, чтобы избежать обнаружения.
Вредоносное ПО получило свое название от исполняемого файла «kmsd.exe», который загружается с удаленного сервера после успешной компрометации. Он также предназначен для поддержки нескольких архитектур — Winx86, Arm64, mips64 и x86_64.
KmsdBot может выполнять операции сканирования и самораспространения, загружая список комбинаций имени пользователя и пароля. Ботнет также умеет контролировать процессы майнинга и обновления вредоносного ПО.
По словам Akamai, первой обнаруженной целью KmsdBot была игровая компания FiveM, многопользовательский мод для GTA V, который позволяет игрокам получать доступ к пользовательским ролевым серверам.
DDoS-атаки
Источник: SecurityLab