В первом случае хакеры создали на базе сканера IoT устройств Mirari ботнета Satori, запустив глобальный поиск открытых портов с подключенный майнинговым оборудованием. Используя удаленный доступ, злоумышленники взламывают фермы под управлением клиента Claymore, меняя адреса кошельков и перенаправляя добытые ETH.
Во втором случае скрытый майнер WinstarNssmMiner «прописывается» в svchost.exe запуская два параллельных процесса – первый занимается добычей Monero, второй отслеживает активность антивирусов. Вредоносный код отключает майнер после его обнаружения Касперским или Avast. Чтобы уйти от блокировки другими антивирусами используется перезагрузка системы или сбой до «синего экрана».
Эксперты 360 Total Security утверждают, что за три дня обнаружили более полумиллиона атак WinstarNssmMiner и около 300 000 IP-адресов, осуществляющих непрерывное сканирование сети ботнетом Satori.