Исследователи из Microsoft обнаружили кросс-платформенный ботнет, способный атаковать Windows- и Linux-системы. Основными целями операторов вредоноса являются серверы Minecraft: злоумышленники пытаются положить их с помощью DDoS.
Ботнет получил имя MCCrash. Специалисты выделяют одну из команд, которые киберпреступники отправляют вредоносу, — ATTACK_MCCRASH.
Эта команда заполняет имя пользователя в форме для входа на сервер Minecraft с помощью переменной ${env:random payload of specific size:-a}. Именно эта строка приводит к сбою в работе сервера.
«Использование переменной “env“ подтягивает библиотеку Log4j 2, которая и вызывает чрезмерное использование ресурсов. Это специфический, но при этом действенный метод DDoS-атаки», — пишет Microsoft.
На данный момент в конфигурации MCCrash жёстко задана версия атакуемых серверов — 1.12.2. Тем не менее ботнет также может «пробить» версии с 1.7.2 по 1.18.2, на которых работают около половины всех Minecraft-серверов в мире.
В версии 1.19 разработчики, кстати, добавили ряд изменений, который препятствуют описанным атакам.
Основной метод распространения вредоноса — пиратские копии и активаторы лицензий Microsoft Windows. За логику работы MCCrash отвечает Python-скрипт «malicious.py». Заражённые устройства могут искать в Сети работающие системы Debian, Ubuntu, CentOS и IoT-девайсы, принимающие подключения по SSH.
Друзья, приглашаем вас принять участие в нашей бесплатной онлайн-конфернции AM Live, которая будет 21 декабря в 11:00. Тема: Итоги 2022 года для рынка информационной безопасности. Подробности