Eigenaren van een NAS-systeem of -server, met name van fabrikant Seagate, moeten controleren dat vreemden geen schrijftoegang op de ftp-server van het apparaat hebben, aangezien internetcriminelen hier misbruik van maken om malware te verspreiden. Dat meldt het Britse anti-virusbedrijf Sophos.

De malware in kwestie wordt Miner-C genoemd en gebruikt besmette computers om naar de digitale valuta Monero te 'minen'. Wereldwijd zouden meer dan 5.000 NAS-servers door de malware zijn geïnfecteerd. Deze servers kunnen vervolgens aangesloten computers besmetten. Om ftp-toegang te krijgen gebruikt de malware een lijst met gebruikersnamen en wachtwoorden en probeert hiermee in te loggen. Zodra de malware toegang heeft gekregen probeert die zichzelf te kopiëren en bestaande webbestanden met de extensies .htm of .php aan te passen, zodat de hostcomputer kan worden besmet.

Aan de webbestanden wordt een iframe toegevoegd dat naar een .scr- of .zip-bestand wijst. Als de aangepaste pagina's worden geopend verschijnt er een melding of de gebruiker het bestand wil opslaan. Wordt het bestand geopend, dan raakt de computer van de NAS-eigenaar besmet. Deze computer wordt vervolgens ingezet voor het minen naar de digitale valuta Monero en zoekt naar andere kwetsbare ftp-servers. Onder de aangevallen NAS-servers bevinden zich ook veel apparaten van harde schijffabrikant Seagate. Door een ontwerpfout beschikken deze NAS-systemen standaard over een publieke map en account die niet kunnen worden verwijderd of uitgeschakeld, zo stelt Sophos.

Als toegang op afstand is ingeschakeld zullen alle accounts op het Seagate NAS-systeem toegankelijk zijn, waaronder de anonieme gebruiker. Aanvallers maken hier misbruik van om de malware op het NAS-systeem te plaatsen. Het NAS-systeem beschikt standaard over een map genaamd Photos. De aanvallers plaatsen in de hoofdmap een malware-bestand genaamd Photo.scr, voorzien van een map-icoon. Aangezien Windows standaard geen bestandsextensies toont kunnen gebruikers denken dat het om de foto-map gaat. Zodra het bestand wordt geopend raakt de computer geïnfecteerd.

Volgens Sophos zijn bijna alle van deze Seagate NAS-systemen door de Miner-C-malware besmet. In totaal ontdekte de virusbestrijder wereldwijd 5100 besmette NAS-servers. "Als je ooit dacht dat je te klein en onbetekenend voor cybercriminelen bent en goede beveiligingsinstellingen alleen iets voor grotere organisaties is, dan zou dit je op andere gedachten moeten brengen. Om het botweg te zeggen, als je geen deel van de oplossing bent, dan zul je zeer waarschijnlijk een deel van het probleem worden", aldus onderzoeker Attila Marosi (pdf).