Уязвимость безопасности в XWiki
Согласно недавнему отчету, хакеры используют уязвимость безопасности в XWiki, веб-платформе для создания контента, чтобы запускать программы на компьютерах, которые им не принадлежат. Ошибка в системе шаблонов XWiki позволила злоумышленникам майнить криптовалюту Monero (XMR) без разрешения.
Метод атаки
Хакеры отправляют запрос, который загружает небольшую программу (x640) на компьютер жертвы. Позже другой запрос запускает эту программу, которая, в свою очередь, загружает еще два скрипта (x521 и x522), устанавливающих майнер Monero (tcrond) и заставляющих его работать, останавливая любые другие майнинговые процессы на зараженной машине.
Передача добытых токенов
Токены Monero, добытые с помощью взломанного компьютера, затем отправляются через c3pool.org.
Дополнительные уязвимости
В отчете Hacker News, ссылающемся на данные CISA, также упоминаются уязвимости безопасности в DELMIA Apriso, которые позволили хакерам удаленно запускать код аналогичным образом.
Рекомендации для пользователей
Тем, кто потенциально стал жертвой криптоджекинга — практики незаконного майнинга криптовалюты с помощью чужого компьютера, следует:
- Заблокировать IP-адреса и следить за сетью на предмет соединений с c3pool.org.
- Удалить файлы, связанные с майнером, если они найдены на зараженном компьютере.
