Kiedy malware walczy z malware... Fbot usuwa cryptojacking z sieci

Kiedy malware walczy z malware... Fbot usuwa cryptojacking z sieci

Sieci botnet stały się niesamowicie potężne na przestrzeni ostatnich kilku lat. Wystarczy wspomnieć, że Departament Bezpieczeństwa Krajowego Stanów Zjednoczonych przyznał, że nie są w stanie samodzielnie walczyć z tym zagrożeniem i potrzebują pomocy ze strony "białych kapeluszy". Sieci botnet składają się z dziesiątek, setek a nawet tysięcy podłączonych do internetu urządzeń, które są stworzone do rozsyłania wiadomości spam na masową skalę, przeprowadzania ataków DDoS, blokowania usług online itp. Sieci botnet są jednak obecnie coraz częściej wykorzystywane do rozsyłania i infekowania milionów komputerów oprogramowaniem zaprojektowanym do wykorzystywania zasobów CPU i bez wiedzy użytkownika wydobywania kryptowalut na zainfekowanym urządzeniu - zjawisko to nazywa się cryptojacking.

Fbot - to pierwszy botnet, który na taką skalę namierza i usuwa cryptojacking. Mamy tu bohaterskie malware, czy to tylko zasłona dymna?

Szczególnie aktywny botnet o nazwie "Mirai" znany jest z infekowania urządzeń IoT złośliwym malware do wydobywania kryptowalut. O ile pojedynczo urządzenia IoT są ekstremalnie nieefektywne w takich zadaniach, to Mirai będąc niesamowicie agresywnym malware zdołało zainfekować tysiące urządzeń, w krótkim czasie przynosząc profity swojemu twórcy. Normalnie termin botnet budzi negatywne skojarzenia, co jest doskonale zrozumiałe, jako że sieć taka wiąże się często z podejrzaną działalnością. Okazuje się jednak, że istnieje sieć botnet, która przełamuje te utarte schematy. Sieć ta rozsyła oprogramowanie, które wcale nie infekuje komputerów, a w rzeczywistości walczy z malware kopiącym kryptowaluty. Specjaliści od bezpieczeństwa zidentyfikowali właśnie taki rodzaj nowego malware, które nazwali Fbot.

Wyszczególniono 3 najważniejsze aspekty działania botnetu:

  • W chwilo obecnej jedynym celem tego botnetu jest wyszukiwanie i likwidacja innego botnetu - com.ufo.miner (wariant ADB.Miner kompiący Monero)
  • Bot nie wykorzystuje tradycyjnego DNS do komunikacji z C2, zamiast tego korzysta z EmerDNS,  jest oparty o blockchain DNS waluty EmerCoin
  • Sieć ta ma silne powiązania z botnetem Satori, który wyszukuje i atakuje kopiących Ethereum

Fakt, że Fbot wykorzystuje EmerDNS zamiast zwykłego DNS jest dość interesujący, utrudnia to dość mocno analitykom odnalezienie i namierzanie botnetu. Fbot oczyszcza zainfekowane komputery, które rozsyłają malware do kopania kryptowalut i jak dotąd nie zostawia po sobie żadnych pozostałości, sprawiając, że wiele osób uwierzyło, że botnet ten mógł zostać stworzony tylko w tym jednym celu. Bardzo prawdopodobne jest, że jest to tylko pierwszy etap większego planu. Botnet może przykładowo czyścić urządzenia z konkurencyjnego malware, tylko by za chwilę wypuścić falę własnych, nowych ataków. Stworzenie takiej sieci botnet wymaga czasu, zaangażowania i funduszy, ciężko więc uwierzyć w anonimową sieć, która po prostu pomaga ludziom. Póki co jest to jednak pierwsza sieć botnet, która na taką skalę namierza i usuwa inne malware, bez żadnej wiedzy użytkownika urządzenia.

Komentarze do: Kiedy malware walczy z malware... Fbot usuwa cryptojacking z sieci