Вредонос QSnatch атакует сетевые накопители QNAP

Производитель сетевых систем хранения данных компания QNAP предупредила своих клиентов от продолжающейся вредоносной кампании, в ходе которой киберпреступники заражают NAS-устройства вредоносным ПО QSnatch, способным похищать учетные данные пользователей.

Исследователи из Национального центра кибербезопасности Финляндии (National Cyber Security Centre of Finland, NCSC-FI) обнаружили в конце октября нынешнего года тысячи NAS-устройств QNAP, зараженных вредоносом QSnatch. Вредоносное ПО собирает и отфильтровывает учетные данные пользователей, обнаруженные на скомпрометированных устройствах, а также загружает вредоносный код с C&C-серверов. QSnatch внедряется в прошивку накопителей, при этом вредоносный код «запускается как часть обычных операций на устройстве». После компрометации устройства вредоносная программа использует «алгоритмы генерации домена для получения дополнительного вредоносного кода с C&C-серверов».

Вредонос запускается с системными правами на зараженных устройствах и может модифицировать скрипты cronjob и init, предотвращать обновление прошивки путем полной перезаписи источников обновлений, запретить запуск QNAP MalwareRemover App, извлекать имена пользователей и пароли и отправлять их на C&C-сервер, загружать новые функции для дальнейшей работы.

QNAP рекомендует пользователям как можно скорее установить последнюю версию приложения Malware Remover для QTS, работающей на NAS-устройствах компании, в частности речь идут о выпусках Malware Remover 3.5.4.0 и 4.5.4.0, которые теперь способны удалять QSnatch.

Напомним, это не первая атака на NAS-устройства в нынешнем году. В июле компании QNAP и Synology предупредили пользователей об атаках с использованием вымогательского ПО eCh0raix на сетевые накопители. Вредонос компрометирует устройства путем брутфорса и эксплуатации известных уязвимостей.