Основные статьи:
2023: Появление вируса
11 июля 2023 года специалисты компании Wiz, занимающейся вопросами информационной безопасности, сообщили об обнаружении вредоносной программы нового типа, которая способна добывать криптовалюту на чужих серверах, не оставляя при этом никаких следов. Зловред получил название PyLoose.
Вирус был найден при помощи инструмента Wiz Runtime Sensor. Сообщается, что PyLoose — это безфайловое вредоносное ПО, использующее концепцию облачных рабочих нагрузок. Вредонос представляет собой относительно простой скрипт, написанный на языке Python: он наделен скомпилированным и закодированным по алгоритму base64 майнером XMRig. Последний служит для добычи криптовалюты Monero и зачастую используется злоумышленниками для скрытой работы — без согласия владельца компьютера.
Особенность PyLoose заключается в том, что он функционирует исключительно в оперативной памяти атакованного сервера. Зловред атакует системы под управлением Linux: к середине июля 2023 года зафиксировано приблизительно 200 случаев взлома. Отмечается, что техника, примененная киберпреступниками, делает PyLoose невероятно скрытным и сложным для обнаружения традиционными инструментами безопасности.
Схема атаки включает эксплуатацию уязвимости в публичных веб-интерфейсах интерактивной вычислительной платформы Jupyter Notebook. Далее злоумышленники используют HTTPS-запрос GET, чтобы получить бесфайловую полезную нагрузку — собственно вредоносную программу PyLoose. Скрипт декодируется и распаковывается, загружая предварительно скомпилированный майнер XMRig непосредственно в память сервера. В результате, киберпреступники получают возможность обойти большинство защитных решений. Кто именно стоит за созданием и распространением PyLoose, не ясно. Но отмечается, что создатели зловреда выделяются среди типичных злоумышленников, занимающихся добычей криптовалютных активов.[1]
Примечания
