Вредонос доставляет полезную нагрузку с помощью общедоступного файлообменника transfer.sh.
Неправильно настроенные серверы баз данных «transfer.sh» для реализации своей атаки.
Фирма по облачной кибербезопасности заявила , что интерактивность командной строки, связанная с transfer.sh, сделала данный сервис идеальным инструментом для размещения и доставки вредоносных полезных нагрузок.
Цепочка атак начинается с поиска уязвимых развёртываний Redis, после чего следует регистрация демона «cron», который приводит к выполнению произвольного кода. Демон предназначен для получения полезной нагрузки, размещенной на transfer.sh.
Стоит отметить, что аналогичные механизмы атаки использовались другими злоумышленниками, такими как TeamTNT и WatchDog, в своих операциях по криптоджекингу.
Полезная нагрузка представляет собой скрипт, загружающий и активирующий майнер криптовалюты «pnscan» для поиска уязвимых серверов Redis и распространения вредоноса.
«Хотя ясно, что целью этой кампании является захват системных ресурсов для майнинга криптовалюты, заражение этим вредоносным ПО может иметь непредвиденные последствия», — заявили в компании. «Необдуманная конфигурация систем управления памятью Linux может легко привести к повреждению данных или потере доступности системы».
Ранее уязвимости серверов Redis использовали вредоносы Redigo и HeadCrab .
