มีการพบเจอ Malware Botnet ที่เอาไว้ขุดเหรียญคริปโต โดยจะใช้ช่องโหว่ของ Android Debug Bridge ซึ่งเป็นระบบที่ออกแบบมาเพื่อแก้ไขข้อบกพร่องของแอพที่ติดตั้งบนโทรศัพท์และแท็บเล็ต Android
ขุดคริปโต
Malware Botnet ตัวนี้ถูกรายงานโดย Trend Micro ค้นพบอีกว่ามีมากกว่า 21 ประเทศที่ติด Malware ตัวนี้และพบมากสุดที่เกาหลีใต้
การโจมตีนี้จะใช้ประโยชน์จากการเปิดพอร์ต ADB ที่ไม่ต้องการขออนุญาต และเมื่อติดตั้งแล้วได้รับการออกแบบมาเพื่อแพร่กระจายไปยังระบบต่าง ๆ ผ่านการเชื่อมต่อ SSH ด้วยการเชื่อมต่อด้วย SSH จะสามารถเชื่อมต่ออุปกรณ์ได้หลากหลายจนไปถึง loT (Internet of Things)
IP ที่เจอได้แก่ 45[.]67[.]14[.]179 โดยใช้ Command Shell ในการอัปเดต directory ไปยัง “/data/local/tmp,” และ .tmp มักจะได้รับ Permission ในการที่จะรันคำสั่งได้ เสร็จแล้วมันก็จะสามารถโหลด Miner ท่ไว้สำหรับขุดคริปโตมาได้
Command ที่ชื่อ chmod 777 a.sh จะถูกรันแล้วไปเปลี่ยนการตั้งค่าของระบบเพื่อที่จะอนุญาตให้มีการลง Malware ได้ จากนั้น Bot จะใช้คำสั่ง rm -rf a.sh* เพื่อลบตัวที่ Download มา และยังสามารถลบร่องรอยต่าง ๆ ได้อีกด้วย
นักวิจัยตรวจสอบสคริปต์ที่บุกรุกและพิจารณา Miner ที่คาดว่าเป็นอันตรายในการโจมตี โดยมันส่งมาจาก URL เดียวกันได้แก่:
- http://198[.]98[.]51[.]104:282/x86/bash
- http://198[.]98[.]51[.]104:282/arm/bash
- http://198[.]98[.]51[.]104:282/aarch64/bash
Cryptomining ยังเป็นสิ่งอันตรายและพยายามค้นหาสิ่งใหม่ ๆ ในการใช้ประโยชน์จากเหยื่ออย่างต่อเนื่อง เมื่อฤดูร้อนที่ผ่านมา Trend Micro พบว่ามีการใช้ประโยชน์จาก ADB อีกครั้งว่าพวกเขาขนานนาม Satoshi Variant
นักวิจัยพบว่า APK ใน Android นั้นมี Script แอบขุดอยู่ นั้นหมายถึงว่าอุปกรณ์ Android นั้นเสี่ยงต่อการถูกติดเชื้อ
กดคลิกเพื่อแสดงความเห็น