Эксперты по кибербезопасности обнаружили новый ботнет, который вместо осуществления вредоносной деятельности занимается поиском и уничтожение зловредного ПО для майнинга криптовалют.
Ботнет Fbot является вариацией ботнета Satori, который в свою очередь основывается на программе Mirai, обычно используемой для осуществления DDoS-атак. Однако в этом случае элемент для осуществления DDoS-атак был отключён и заменён функцией поиска устройств, инфицированных с помощью определённого криптоджекера или скрытого майнера.
Ботнет был обнаружен командой Qihoo 360Netlab. Согласно их информации, Fbot ищет com.ufo.miner – вариацию Monero-майнера для устройств на Android под названием ADB.Miner.
Ботнет ищет заражённые устройства через открытые порты и использует скрипт для удаления com.ufo.miner, если находит его. Fbot запрограммирован таким образом, чтобы сканировать сеть и распространяться по ней, устанавливать себя поверх вредоносного ПО, а затем самоуничтожаться, заявляют исследователи.
Ещё одной необычной особенностью Fbot является тот факт, что он использует не стандартную систему доменных имён (DNS) а децентрализованную альтернативу на блокчейне под названием EmerDNS, из-за чего его адреса сложнее отследить и закрыть.
«Выбор Fbot в пользу EmerDNS перед традиционными DNS довольно любопытен. Из-за этого экспертам было сложнее найти и отследить его (системы безопасности ничего не находят, если ищут только по традиционным DNS-именам)», – пишут они.
Занимается ли Fbot этой деятельностью из благих побуждений или он просто устраняет конкурентов, неизвестно.
Рост популярности скрытых майнеров начался в прошлом году, согласно сообщениям различных компаний из сферы кибербезопасности. Жертвами становятся как обычные пользователи, так и предприятия и даже государственные структуры. Недавно стало известно, что скрытые майнеры были обнаружены на нескольких правительственных веб-сайтах в Индии.
