据6月6日发布的公告,GuardiCore安全团队发现了恶意的流量操纵和加密货币挖掘活动,逾4万台设备被感染,其中包括金融、教育和政府在内的各行各业。
Operation Prowli使用如漏洞攻击和密码强行破解等各种技术来传播恶意软件,并接管诸如网络服务器、调制解调器和物联网等设备。GuardiCore发现发起Prowli攻击的犯罪分子只专注赚钱,而不是意识形态或间谍活动。
据报道,受攻击的设备感染了门罗币(XMR)矿工和r2r2蠕虫病毒,这是一种恶意攻击软件,能从被攻击的设备中执行SSH暴力攻击,并通过Prowli攻击来影响新的受害者。换句话说,r2r2通过随机生成IP地址尝试使用用户密码强制SSH登录,攻击成功后对感染设备运行一系列命令。GuardiCore透露:
“这些攻击都以相同的方式进行,通过共同的C&C服务器通信并下载大量r2r2病毒以及加密货币挖掘程序。”
此外,网络犯罪分子还使用开源webshell插件“WSO Web Shell”来修改受攻击的网站来托管恶意代码,将网站访问者重新导向一个流量分配系统,然后将其重定向到其他恶意网站。一旦重定向到虚假网站,用户就会成为点击恶意浏览器扩展的受害者。GuardiCore团队报告说,Prowli设法让9,000多家公司妥协。
上个月,一个新的加密恶意软件在三天内通过50万台电脑来挖掘133个门罗币。网络安全公司360发现,WinstarNssmMiner恶意软件给用户带来了新挑战,因为它能同时挖掘和摧毁受感染的设备。