Вредоносные скрипты получили название Rocke, и отличаются от обычных скрытых майнеров, тем что использует облачные сервера для майнинга XMR и является практически неуловимым для антивирусов.
Обнаружить его удалось исследователям компании Palo Alto Networks, которые описали принцип работы вируса: после проникновения на сервер, вирус удаляет все компоненты отвечающие за безопасность, и устанавливает скрипт для майнинга XMR. Вирус предпочитает атаковать системы под ОС Linux, и может успешно удалять любые средства безопасности, даже продукты крупнейших провайдеров облачных услуг в Китае — Alibaba и Tencent.
Rocke использует критические уязвимости в программном обеспечении Apache Struts 2, Oracle WebLogic и Adobe ColdFusion, чтобы проникнуть на сервер, после чего загружает скрипт «a7», который делает майнер неуловимым.
