Koden bag det såkaldte Satori-botnet er blevet brugt til at angribe og overtage systemer, der miner kryptovaluta.
Det skriver Bleeping Computer blandt andet på baggrund af en gennemgang fra Netlab.
Satori-botnettet – der først blev spottet i december sidste år – er en stærkt modificeret udgave af Mirai-botnettet, der overtog usikre internetopkoblede enheder i tusindvis til at udføre DDoS-angreb.
Satori-koden overtager ikke som sin forgænger IoT-enheder, der bruger standard-kodeord, men skanner i stedet efter to sårbarheder i gammel firmware på routere fra Huawei og Realtek. Netværket tæller mellem 500.000 og 700.000 bots.
Nu har Satori tilsyneladende også fået en ny tjans, som ikke har noget at gøre med dens botnet-mission.
»Hvad der virkelig står ud som noget, vi aldrig har set før, er, at denne variant rent faktisk hacker sig ind i diverse mining hosts,« skriver Netlab i en blog.
Satori skanner efter en sårbarhed i et populært stykke mining-software – kaldet Claymore – til at overtage mining-software og ændre wallet-adressen, så skaberen af malwaren får udbetalt kryptovaluta i stedet for ejeren af mining-computeren. Angrebet har ikke været sværere at sætte sammen, end at den anvendte exploit ligger offentligt tilgængeligt som proof-of-concept.
I et besynderligt twist på malware-angrebet har forfatteren bag malwaren – der er blevet døbt Satori.Coin.Robber – skrevet en note, der påstår, at malwaren ikke er ondsindet.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
