В своем отчете аналитики пишут, что новый ботнет имеет признаки SSH-червя ― компьютеры он заражает через SSH-подключение, где подбирает пароль с помощью словаря и методики подмены ключей. После получения доступа вирус размещает майнеры криптовалют, причем старается максимально скрыть свою деятельность, например, использует мониторинг процессов и в случае опасности отключает модуль майнинга.

Ботнет был обнаружен «в живой природе» в марте 2022 года. Он написан на языке программирования Golang. Это достаточно гибкий язык, который позволяет легче заражать различные архитектуры компьютеров и дистрибутивы Linux.

После получения доступа к серверу через SSH вирус создает скрытую папку и размещает себя там под именем «xinetd.». Затем обращается к специальному серверу Discord через запрос HTTPS POST. Делается это для отслеживания заражения изготовившими вредоносную программу хакерами. После вирус копирует себя как «/bin/system-worker» и регистрируется в качестве нового сервиса systemd, чтобы встать в список программ для автозагрузки.

Интересно, что общение ботнета и управляющего центра не зашифровано и проходит по порту TCP 1919. По этому порту вирус получает конфигурацию майнера и другие настройки. Для майнинга используется ПО NiceHash, поэтому специалисты Akamai не смогли оценить транзакции и масштабы ботнета.

Большая часть зараженных сетей принадлежит к образовательным учреждениям, расположенным в США. При этом, судя по определенным признакам, ботнет – родом из Японии.

Недавно компания Microsoft рассказала о вирусах и методах взлома Cryware, позволяющих воровать активы с горячих криптокошельков.