นักวิจัยด้านความปลอดภัยจาก GuardiCore Labs พบการแพร่กระจายของมัลแวร์สำหรับแอบขุดเหมืองเงินคริปโตขนาดใหญ่ Prowli ซึ่งล่าสุดพบการติดเชื้อในอุปกรณ์กว่า 40,000 เครื่องในกว่า 9,000 บริษัททั่วโลก ทั้งในหน่วยงานภาครัฐ, สถาบันการศึกษา, หรือแม้แต่สถาบันการเงิน
แคมเปญการโจมตีนี้เรียกชื่อว่า Operation Prowli ซึ่งใช้เทคนิคการแพร่เชื้อหลากหลายมากไม่ว่าจะเป็นการอาศัยช่องโหว่ต่างๆ, การใช้ประโยชน์จากการตั้งค่าอุปกรณ์ที่อ่อนแอ, ไปจนถึงการระดมยิงรหัสผ่านแบบสุ่มหรือ Brute-Force เพื่อกระจายตัวเองไปเข้าควบคุมอุปกรณ์ให้มากที่สุดเท่าที่เป็นไปได้
ทั้งนี้ นักวิจัยมองว่าเป้าหมายของผู้โจมตีน่าจะเป็นการหาเงินโดยเฉพาะมากกว่าการมุ่งดูดขโมยข้อมูล โดยเหยื่อที่เป็นเป้าหมายได้แก่เซิร์ฟเวอร์ที่โฮสต์ระบบ CMS ทั้งหลาย, HP Data Protector, เซิร์ฟเวอร์แบ๊กอัพข้อมูล, อุปกรณ์ IoT, และโมเด็ม DSL ทั้งหลาย รวมทั้งมีการรีไดเร็กต์ผู้ใช้ไปยังเว็บไซต์ที่ติดเชื้อด้วย
หลังจากฝังตัวบนเซิร์ฟเวอร์แล้ว มัลแวร์จะรันตัวขุดเหมือง Monero XMR พร้อมติดตั้งเวิร์ม r2r2 เพื่อคอยยิงรหัสสุ่มแบบ Brute-Force ไปยังอุปกรณ์อื่นๆ บนเครือข่ายผ่านเทอมินัล SSH อีกทั้งยังใช้เว็บเชลล์แบบโอเพ่นซอร์สอย่าง WSO Web Shell ในการแก้ไขเว็บไซต์บนเซิร์ฟเวอร์ที่ติดเชื้อ เพื่อรีไดเร็กต์ผู้เยี่ยมชมไปยังเว็บกระจายมัลแวร์ด้วย
ที่มา : Hackread
