Исследователи Qihoo 360Netlab обнаружили новый ботнет Fbot, который не пытается нанести системам пользователей какого-либо вреда – вместо этого он ищет и удаляет определенные виды программ для скрытого майнинга.
Fbot – модифицированная версия ботнета Satori, основанного в свою очередь на Mirai. Обычно программа используется для DDoS-атак, однако в данном случае этот модуль был деактивирован. Вместо этого Fbot охотится на com.ufo.miner – вариацию ADB.Miner, предназначенного для майнинга Monero на Android.
Ботнет ищет в сети устройства, на которых открыт определенный порт, после чего с помощью скрипта деинсталлирует com.ufo.miner, устанавливается в систему вместо него и удаляется.
Примечательно, что код Fbot связан с доменными именем, которое доступно через децентрализованную альтернативу DNS – EmerDNS.
«Выбор EmerDNS вместо традиционной DNS – очень интересный. Благодаря этому исследователям оказалось значительно сложнее обнаружить и отслеживать ботнет, поскольку системы безопасности обычно сканируют лишь традиционные адреса DNS», – говорится в отчете.
Впрочем, цель запуска нового ботнета пока неизвестна – сделано ли это из лучших побуждений или для борьбы с хакерами-конкурентами.
Отметим, что за последний год майнинговые вирусы стали очень популярны среди хакеров. Ранее антивирусная компания Trend Micro сообщила, что количество криптомайнинговых атак выросло на 956% с первой половины 2017 года до первого полугодия 2018 года. По данным той же компании, в настоящее время 920 000 серверов уязвимы для криптоджекера Wannamine.
