Специалисты по кибербезопасности компании Incapsula Imperva обнаружили новую вредоносную программу, которая атакует систему управления контентом Drupal, чтобы незаконно добывать криптовалюту Monero.
Кроме того, программа рассылает своим жертвам ироничные сообщения: «мяу, не удаляйте меня, я безвредный, милый маленький котенок». Вирус Kitty появился через месяц после публикации эксплойта Drupalgeddon 2.0. Уязвимость удаленного выполнения кода в версиях Drupal 7.x и 8.x позволяет хакерам использовать несколько методов атаки для проникновения на сайты Drupal. После того, как сайты скомпрометированы, мошенники могут обойти систему защиты, майнить криптовалюту и похищать учетные записи и данные.
«Во время проверки атак, заблокированных нашими системами безопасности, мы обнаружили вредоносную программу Kitty, которая майнит криптовалюту Monero, используя «webminerpool», программное обеспечение для майнинга с открытым исходным кодом для браузеров. После выполнения сценария Kitty, на зараженный сервер записывается файл с именем «kdrupal.php». Таким образом злоумышленник укрепляет свои позиции на зараженном сервере и гарантирует доминирование используя инструмент для обхода системы, независимо от уязвимости Drupal».
Уникальность Kitty в том, что она не только компрометирует сервер, внутреннюю сеть и сам веб-сайт, но и посетителей зараженных доменов. Вредоносная программа сначала попытается переписать index.php — файл в настройках сайта системы управления контентом и включить его в скрипт me0w.js. После добавления, файлы на основе JavaScript проверяются и отправляются в очередь на майнинг. При этом, вирус распространяется на любого будущего посетителя на зараженных сайтах веб-сервера.
Ранее мы также сообщали об интересном разговоре между Тимофеем Жаннином, разработчиком API скриншотов ApiLeap и криптовалютным мошенником, который не только посоветовал Жаннину обновить безопасность домена, но и попросился на работу, убедившись в том, что он может нарушить протокол безопасности. Был также хакер, который атаковал LA Times для майнинга цифровой валюты, используя электронные устройства посетителей веб-сайта газеты. Он оставил сообщение, в котором советовал разработчикам исправить уязвимость «прежде, чем о ней узнают плохие ребята». Похоже, мошенникам нравится оставлять своим жертвам прощальные письма.