Un malware de tip cryptojacking cunoscut sub numele de Smominru a fost modificat pentru a rula pe dispozitivele victimelor nu numai pentru a mina Monero (XMR), ci și pentru a fura datele lor de acces.

Potrivit gazetei de știri din domeniul IT ZDNet, cei care au observat acest lucru au fost cercetătorii de la Carbon Black’s Threat Analysis Unit (TAU).

Procesul de atac urmează, de obicei, un model similar: atacatorii se infiltrează într-un sistem printr-o vulnerabilitate sau forțând conturile cu parole slabe, pentru a utiliza puterea procesorului sistemului cu scopul de a mina criptomonede, care sunt apoi trimise într-un portofel pe care atacatorii îl controlează.

Totuși, malware-ul cryptojacking Smominru a fost actualizat pentru a fura datele sistemului în ceea ce cercetătorii numesc „accesul minier”, ceea ce înseamnă că un modul de recoltare a datelor este introdus în codul de minat a fura acreditările de acces și alte informații.

Atacatorii, adaugă gazeta de știri, folosesc o versiune modificată a XMRig pentru a mina Monero (XMR), în timp ce implementează un malware disponibil comercial și cu un cod public ce poate fi modificat pentru a fura datele victimelor.

În acest fel, infractorii cibernetici sunt capabili să vândă Monero pe exchange-urile cripto, precum și date de server compromise, cu prețuri de până la 6.75 USD. TAU a scris în raportul său:

”Acum, în loc să se bazeze exclusiv pe veniturile din minatul Monero, aceștia au suplimentat aceste venituri cu vânzarea accesului la sistem de la distanță.”

Cercetătorii au observat că botul este activ de cel puțin doi ani și se răspândește folosind un exploit care a fost folosit și în timpul campaniei globale de ransomware WannaCry. Majoritatea victimelor sunt situate în regiunea Asia-Pacific. Deși nu este încă confirmat, există șanse ca accesul la sistemele lor să fie vândut pe dark web.