Otkriven je novi tip napada na PostgreSQL baze podataka, u kojima autori zlonamjernog sadržaja koriste sliku glumice Scarlett Johansson kako bi prikrili kriptovalutni miner. Napadače su otkrili sigurnosni stručnjaci iz tvrtke Imperva preko svog honeypota, a otkrili su da su napadači stekli pristup PostgreSQL korisničkom računu i iskoristili ranjivosti PostgreSQL modula. Taj modul napadačima je omogućio stjecanje uvećanih ovlasti i zaobilaženje sigurnosnih ograničenja.

Nakon što su stekli uvećane ovlasti, napadači su izlistali CPU i GPU detalje poslužitelja, a zatim su pokazali stvarnu namjeru, a to je postavljanje kriptovalutnog minera. Napadači su preuzeli PNG datoteku s legitimnog web sjedišta imagehousing.com koja je, prema riječima istraživača, isprva djelovala kao slika Hollywoodske glumice Scarlet Johansson, no analizom binarnog koda otkrili su da se kriptovalutni miner skriva iza slike.

Za izvlačenje coinminera ugrađenog u sliku napadači su koristili Linux “dd” (duplikator podataka) i zatim iz njega stvorili novu datoteku i novi proces. Taj novi proces koristio je lokalni poslužitelj za rudarenje Monero kriptovalute za napadače. Sva sredstva šalju se na Monero adresu:

4BBgotjSkvBjgx8SG6hmmhEP3RoeHNei9MZ2iqWHWs8WEFvwUVi6KEpLWdfNx6Guiq5451Fv2SoxoD7rHzQhQTVbDtfL8xS.

Prema navedenome na stranici XMR Hunter, usluzi koja prati Monero adrese, napadači iza kampanje posjeduju 317.265615122445 jedinica kriptovalute Monero (XMR) što iznosi oko 65,600 američkih dolara. Nažalost, nije moguće odrediti koliko je novca prikupljeno iskorištavanjem ranjivosti PostgreSQL modula.

Imperva je stupila u kontakt sa stranicom imagehousing.com, koja je spornu sliku uklonila. Međutim, napadači će najvjerojatnije postaviti novu sliku te nastaviti sa zlonamjernim djelatnostima.

S obzirom na to da postoji više od 710,000 PostgreSQL poslužitelja povezanih na internet, računalni stručnjaci savjetuju svim korisnicima da poduzmu dodatne mjere zaštite kako bi umanjili mogućnost kompromitacije.