Неизвестный ранее ботнет терроризирует автомобильные бренды и моды для игр

Команда Akamai Security Intelligence Response Team (SIRT) обнаружила новое вредоносное ПО, которое использует SSH-протокол (Secure Shell) для проникновения в целевые системы, чтобы осуществлять майнинг криптовалюты и проводить DDoS-атаки.

Эксперты назвали вредоносное ПО KmsdBot. Оно разработано на основе Golang и нацелено различные компании – от игровых до автомобильных брендов и охранных фирм.

Ботнет заражает системы через SSH-соединение, использующее «слабые» учетные данные для входа в систему. KmsdBot не остается постоянным в зараженной системе, чтобы избежать обнаружения.

Вредоносное ПО получило свое название от исполняемого файла «kmsd.exe», который загружается с удаленного сервера после успешной компрометации. Он также предназначен для поддержки нескольких архитектур - Winx86, Arm64, mips64 и x86_64.

KmsdBot может выполнять операции сканирования и самораспространения, загружая список комбинаций имени пользователя и пароля. Ботнет также умеет контролировать процессы майнинга и обновления вредоносного ПО.

По словам Akamai, первой обнаруженной целью KmsdBot была игровая компания FiveM, многопользовательский мод для GTA V, который позволяет игрокам получать доступ к пользовательским ролевым серверам.

DDoS-атаки ботнета включают атаки 4-го и 7-го уровней OSI , при которых отправляется поток запросов TCP , UDP или HTTP GET, чтобы перегрузить ресурсы целевого сервера и привести его к состоянию «отказ в обслуживании».

Примечательно то, что ботнет KmsdBot начинался как бот для игрового приложения, а превратился в инструмент для атаки на крупные и дорогие бренды.