В сети появился новый тип вредоносного ПО, использующий вычислительные мощности облачных серверов для майнинга криптовалюты. Особенность вируса в том, что он не обнаруживается системами безопасности.

Исследователи калифорнийской компании Palo Alto Networks, специализирующейся на кибербезопасности, опубликовали отчёт о вредоносной группе скриптов Rocke, атакующей объекты облачной инфраструктуры. Оказавшись на сервере, вирус получает административный контроль и удаляет все компоненты, связанные с безопасностью. Затем скрипт внедряет код, использующий мощности сервера для майнинга Monero.

Исследуя заражённые сервера, работающие под управлением ОС Linux, специалисты обнаружили, что вирус успешно удалил пять различных программ для безопасности облачных серверов. Среди них продукты крупнейших провайдеров облачных услуг в Китае — Alibaba и Tencent.

По словам специалистов, Rocke использует уязвимости в программном обеспечении Apache Struts 2, Oracle WebLogic и Adobe ColdFusion. На сервер загружается скрипт оболочки под названием «a7», который выводит из строя антимайнинговое ПО и скрывает своё присутствие за счёт отключения систем безопасности.

«Насколько нам известно, это первое семейство вирусов, обладающее уникальным свойством воздействовать на продукты безопасности облачной инфраструктуры и удалять их», — заявили исследователи.

Стоит отметить, что Monero по-прежнему сохраняет титул самой популярной криптовалюты среди хакеров. На прошлой неделе было опубликовано исследование, авторы которого пришли к выводу, что не менее 4,32% всех токенов Monero в обращении были добыты с помощью криптоджекинга.

В октябре разработчики Monero запустили специальный сайт для борьбы с этим явлением. Ресурс содержит информацию о том, как удалить с компьютера вирусы, добывающие XMR. Однако всего месяц спустя израильская компания Check Point Software Technologies рассказала о вредоносном майнере KingMiner, который эволюционирует так, чтобы его нельзя было обнаружить.