Поради постоянно повишаващата се цена на Bitcoin и нарастващия интерес въобще към криптовалутите, кибер престъпниците търсят все по-нови и по-нови начини за добиване на дигитални монети.
Разработчици по сигурността са открили, че в момента е активна нова малуер кампания за „копаене“ на Bitcoin с името Zealot, която е насочена към Windows и Linux машини. Кампанията използва експлойтите на Националната агенция за сигурност (AНС) EternalBlue и EternalSynergy. Уязвимостите, които се използват са CVE-2017-5638 (Apache Struts Jakarta Multipart Parser атака) и CVE-2017-9822 (DotNetNuke (DNN)).
При Windows се използва PowerShell, чрез който се сваля и се инсталира програмата за добиване на криптовалута или така нареченият „миньор“. За да е по-трудно откриваем, миньорът, който в случая е Monero, се сваля като дигитална библиотека (.dll) и се инжектира в процеса на PowerShell.
Що се отнася за Linux, при него се използват Python скриптове от EmpireProject и се инсталира отново миньорът Monero. Zealot се опитва да вземе скрипт, наречен „larva“ от отдалечен сървър посредством командата nohup, което позволява тя да остане активна дори и ако шелът бъде затворен, което е широко известен начин за отваряне на различни приложения, без след това шелът или терминалът/конзолата да се налага да останат отворени.
Ако връзката чрез TCP сокета не се осъществи, с предвидени алтернативи в лицето на wget и curl.
Специалистите смчитат, че до момента кибер престъпниците са добили минимум $8500 от кампанията Zealot, но подчертават, че тази сума може да е далеч по-висока, защото може да използват множество виртуални портфейли, които не са наблюдавани към момента.
Засега няма бинарен файл за macOS, но не е изключено да се появи такъв за в бъдеще.
