Специалисты «Доктор Веб» обнаружили Linux-троян, который атакует только Raspberry Pi и устанавливает на инфицированное устройство приложение для майнинга криптовалют.

Производители антивирусного ПО сообщили, что распространение малвари Linux.MulDrop.14, которая атакует исключительно устройства Raspberry Pi, началось в мае 2017 года. Троян представляет из себя скрипт, в котором содержится сжатое и зашифрованное приложение-майнер, предназначенное для добычи криптовалюты. Linux.MulDrop.14 меняет пароль на зараженном устройстве на «\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6 K1а». После смены пароля, вирус распаковывает и запускает майнер, а затем с помощью zmap, в бесконечном цикле начинает искать в сетевом окружении узлы с открытым портом 22 и пытается соединиться с ними, используя sshpass и дефолтные учетные данные (pi:raspberry), чтобы запустить на них свою копию.

Поскольку многие владельцы Raspberry Pi не обновляют свои устройства, последнее обновление Raspbian OS, вышедшее в прошлом году, которое отключает SSH и вынуждает пользователя сменить логин и пароль у многих не установлено, а значит Linux.MulDrop.14 представляет для них угрозу.