Новости Новый Linux-вредонос PyLoose майнит крипту прямо из памяти

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.795
Реакции
61.959
RUB
50
PyLoose — новый бесфайловый вредонос, атакующий облачные системы с целью использовать чужие вычислительные ресурсы для майнинга цифровой валюты.


Операторы зловреда охотятся за Monero. PyLoose представляет собой относительно простой Python-скрипт с предварительно скомпилированным зашифрованным base64 майнером XMRig. Как отметили исследователи из Wiz, изучившие новую киберугрозу, PyLoose очень сложно детектировать.

Вредоносная программа действует максимально незаметно именно благодаря принципу своего выполнения — напрямую из памяти.

Стоит также помнить, что бесфайловые зловреды не оставляют следов на системных дисках, так что сигнатурный детект здесь практически бесполезен. Специалисты Wiz впервые зафиксировали атаки PyLoose 22 июня 2023 года, и с тех пор они отметили как минимум 200 случаев заражения.

«Насколько нам известно, это первый задокументированный бесфайловый Python-вредонос, атакующий облачные системы. Мы собрали доказательства около 200 случаев удачных атак, результатом которых стала вредоносная добыча криптовалюты», — гласит отчет Wiz. Операторы PyLoose используют GET-запрос по HTTPS, который фетчит бесфайловый пейлоад с похожего на Pastebin ресурса — «paste.c-net.org».

После этого вредонос загружается непосредственно в память. Майнер XMRig тоже выполняется в памяти с помощью Linux-утилиты «memfd». Эксперты пока не могут сказать, какая именно кибергруппа стоит за распространением PyLoose.





 
PyLoose is a new fileless malware that targets cloud systems in order to utilize their computing resources for cryptocurrency mining, specifically Monero. The operators of this malware aim to profit from mining digital currency using other people's resources. PyLoose is a relatively simple Python script that contains a pre-compiled, encrypted base64 miner called XMRig. Researchers from Wiz, who have studied this new cyber threat, have noted that PyLoose is difficult to detect. The malicious program operates silently by executing directly from memory. It is important to keep in mind that fileless malware does not leave traces on the system's disks, making signature-based detection practically useless.

Experts at Wiz first detected PyLoose attacks on June 22, 2023. Since then, they have observed at least 200 cases of infection. The Wiz report states, "To our knowledge, this is the first documented fileless Python malware targeting cloud systems. We have collected evidence of approximately 200 successful attacks, resulting in malicious cryptocurrency mining."

The operators of PyLoose use an HTTPS GET request to fetch the fileless payload from a resource similar to Pastebin called "paste.c-net.org". The malware is then loaded directly into memory. The XMRig miner is also executed in memory using the Linux utility "memfd". Experts are currently unable to identify the specific cyber group behind the distribution of PyLoose.

Source: " "
 
Сверху Снизу