Специалисты компании GuardiCore выявили в Сети массивный ботнет, включающий более 40 тыс. инфицированных web-серверов, модемов и других IoT-устройств. Ботнет, получивший название Prowli, используется для майнинга криптовалюты и перенаправления пользователей на вредоносные сайты. Заражение устройств осуществляется с помощью эксплоитов и брутфорс-атак.
После компрометации сервера или IoT-устройства операторы Prowli определяют, могут ли использовать его для интенсивной добычи криптовалют. Если устройство является подходящим, его заражают майнером Monero и червем r2r2, способным осуществлять брутфорс-атаки на SSH. Кроме того, злоумышленники инфицируют сайты под управлением популярных систем управления контентом (WordPress, Joomla!, Drupal) бэкдором, использующимся для внедрения вредоносного кода, который перенаправляет пользователей на различные мошеннические и вредоносные ресурсы.
Как полагают исследователи, организаторы Prowli преследуют исключительно финансовую выгоду. По их словам, злоумышленникам удалось заразить более 40 тыс. серверов и IoT-устройств, расположенных в сетях свыше 9 тыс. компаний. Причем операторы ботнета не отдают предпочтение какому-либо региону, а атакуют пользователей по всему миру.

Источник: securitylab.ru