Hackare utnyttjar säkerhetsbrist i XWiki
Enligt en nyligen publicerad rapport utnyttjar hackare en säkerhetsbrist i XWiki, en webbaserad plattform för innehållsskapande, för att köra program på datorer de inte äger. Felet i XWikis mallsystem har gjort det möjligt för illvilliga aktörer att bryta kryptovalutan Monero (XMR) utan tillstånd.
Så fungerar attacken
Hackarna skickar en begäran som laddar ner ett litet program (x640) på datorn hos det olyckliga offret. Senare körs en annan begäran som aktiverar detta program, vilket i sin tur laddar ner två ytterligare skript (x521 och x522) som installerar en Monero-miner (tcrond) och får den att köra, samtidigt som den stoppar alla andra brytningar på den infekterade maskinen.
De Monero-tokens som bryts med den hackade datorn skickas sedan via c3pool.org.
Ytterligare säkerhetsbrister
Hacker News-rapporten, som citerar data från CISA, nämner även säkerhetsbrister i DELMIA Apriso som tillåter hackare att köra kod på distans på ett liknande sätt.
Åtgärder för att skydda sig
De som potentiellt har blivit offer för cryptojacking, det vill säga praktiken att olagligt bryta kryptovaluta med hjälp av någon annans maskin, bör:
- Blockera IP-adresserna
- Övervaka nätverket för anslutningar till c3pool.org
- Ta bort filer kopplade till minern om de hittas på den infekterade datorn
