Samma säkerhetshål som användes för att sprida det förödande Wannacry-viruset har fått användning igen. Det nya viruset Coinminer är en sällsynt elakt cocktail av skadlig kod som används för att skapa kryptovaluta, skriver säkerhetsföretaget Trend Micro i en ny rapport.
Om attacken lyckas lägger viruset in ett program som kidnappar datorns hårdvara för att utföra de beräkningar som krävs för att skapa nya kryptopengar. Sedan stoppar hackarna bakom viruset ned stålarna i sin egen digitala plånbok.
Läs också: Stora förluster i spåren av cyberattacken Petya
Coinminer använder Eternalblue, det säkerhetshål som läckte från NSA i våras, för att infektera sårbara maskiner. Sedan nyttjar det WMI, Windows Managment Instrumentation, för att köra igång en rad skript i enhetens arbetsminne och ladda ned kryptomjukvaran.
Kombinationen av Eternalblue och att viruset körs i datorns arbetsminne gör Coinminer till ett "extremt välgömt och ihärdigt hot", skriver Trend Micro.
Säkerhetsföretaget varnar för att det inte längre räcker att söka igenom hårddiskar för att hitta alla hot, när hackarna blivit smarta nog att köra sin skadliga kod i maskinens arbetsminne.
Coinminer har varit aktiv åtminstone sedan juli månad, och har främst infekterat datorer i Sydostasien och Japan. Microsoft har släppt säkerhetsuppdateringar som stoppar Eternalblue-buggen, så uppdaterade maskiner ska vara skyddade mot hackergruppens attacker.
Läs också: Hackare använder läckta NSA-verktyg för att spionera på hotellgäster
Trend Micro rekommenderar ändå it-avdelningarna där ute att begränsa eller helt stänga av möjligheten att köra WMI-script för att undvika andra liknande attacker. Flera andra virus, inte minst den ökända Stuxnet-masken, har använt sig av WMI för att kunna verka i det dolda.