بدافزار استخراج ارز مجازی MassMiner که اخیرا توسط شرکت AlienVault کشف شده است، با بهره برداری از چندین آسیب پذیری شانس خود را در به خطر انداختن سرورهای وب افزایش می دهد. این بدافزار دارای یک ابزار اسکن اینترنتی به نام MassScan است که در این مورد، فهرستی از محدوده ی IP های خصوصی و عمومی را در حین اجرا اسکن می کند. MassMiner پس از آلوده کردن هدف، تلاش می کند تا ابتدا در سایر میزبان ها بر روی شبکه ی محلی و سپس از طریق اینترنت گسترش یابد.
شرکت AlienVault چندین نسخه از بدافزار MassMiner را مشاهده کرده و اعلام کرده است که این بدافزار همچنان به گسترش خود ادامه میدهد. این شرکت امنیتی چند سیستم آسیبدیده را در آسیا، آمریکای لاتین و اروپا شناسایی کرده، اما هنوز سطح آلودگی مشخص نشده است.
این بدافزار پس از بهکارگیری MassScan بهمنظور شناسایی سیستمهای آسیبپذیر، تلاش میکند تا با بهرهبرداری از چندین آسیبپذیری آنها را مورد هدف قرار دهد. این آسیبپذیریها عبارتند از؛ بهرهبرداری از آسیبپذیری موجود در WebServer با شناسهی CVE-2017-10271، بهرهبرداری از آسیبپذیری موجود در SMB متعلق به آژانس امنیت ملی آمریکا با شناسهی CVE-2017-0143 (بهرهبرداری EternalBlue که برای نصب DoublePulsar استفاده میشود) و بهرهبرداری از آسیبپذیری موجود در آپاچی استراتوس با شناسهی CVE-2017-5638. این بدافزار، سرورهای SQL مایکروسافت را نیز با استفاده از SQLck مورد حملهی جستجوی فراگیر قرار میدهد.
پس از آلوده شدن یک سرور SQL مایکروسافت، اسکریپتی اجرا میشود که بدافزار MassMiner را نصب خواهد کرد، بهدنبال آن اسکریپت دیگری اجرا میشود که ویژگیهای مهم امنیتی مانند آنتیویروسها را بر روی سرور غیرفعال میکند. بدافزار MassMiner بر روی سرورهای Weblogic با استفاده از اسکریپت PowerShell و بر روی سرورهای آپاچی استراتوس با استفاده از اسکریپت VisualBasic دانلود میشود.
این بدافزار پس از گسترش یافتن، وظایف را برای اجرای مولفههای خود زمانبندی کرده، لیست کنترل دسترسی (ACL) را برای دسترسی کامل به فایلهای خاص سیستم تغییر داده و دیوارهی آتش ویندوز را غیرفعال میکند. بدافزار MassMiner یک فایل پیکربندی را از یک سرور راه دور دانلود میکند. این فایل حاوی اطلاعاتی در مورد سرور برای دانلود بهروزرسانیها، یک فایل اجرایی برای آلوده کردن ماشینهای دیگر و همچنین کیف پول مونرو و مخزن استخراج برای ارسال ارزهای استخراجشده به آن میباشد.
محققان اشاره کردند: «اگر درخواست HTTP برای فایل پیکربندی، پاسخی در پی نداشته باشد، بدافزار قادر است با استفاده از پیکربندی پیشفرض خود، استخراجکننده را باموفقیت اجرا نماید.» این بدافزار علاوه بر استخراجکنندهی ارز مجازی، تلاش میکند تا دربِ پشتی Gh0st را نیز بر روی ماشینهای آلوده نصب کند. این امر نشان میدهد که اپراتورهای بدافزار ممکن است حملات بیشتری را راهاندازی کنند، همانطور که اخیرا در مورد بدافزار PyRoMine نیز مشاهده شده است. شرکت AlienVault تاکنون دو کیف پول مونرو متعلق به اپراتورهای MassMiner را شناسایی کرده است.