O nouă campanie de malware vizează dispozitivele Linux și aplicațiile web pentru a instala software de minare de cripto-monedă

Cercetătorii din domeniul securității au identificat o nouă campanie de malware care vizează dispozitivele Linux și anumite aplicații web cu scopul de a instala aplicații de minare de cripto-monedă.

Preluarea controlului asupra hardware-ului pentru a instala aplicații de minare de cripto-monedă nu e o practică neobișnuită. Infractorii încearcă să compromită sistemele pentru a le putea folosi în scopul reducerii costurilor operaționale. Minarea de cripto-monedă este o activitate costisitoare, iar utilizarea sistemelor altor persoane reduce aproape toate costurile.

Infractorii tind să urmeze aceeași cale, începând cu identificarea dispozitivelor și serviciilor protejate în mod necorespunzător, care utilizează, de obicei, date de autentificare implicite sau slabe. În urmă cu câteva luni, Bitdefender a identificat o campanie similară în cadrul căreia atacatorii instalau malware de minare Monero prin intermediul unor date de autentificare SSH slabe.

Conform descoperirilor cercetătorilor din domeniul securității de la Akamai, campania este mult mai complexă, deoarece infractorii au încercat din răsputeri să-și ascundă activitatea pe sistemele compromise. La fel ca Bitdefender, Akamai a utilizat honeypot-uri concepute special pentru a monitoriza comportamentul malware-ului după pătrunderea acestuia în sistem.

Atacatorii au instalat un malware PHP pe care cercetătorii l-au numit Capoae. Cel mai probabil, sistemele sunt compromise prin intermediul unui plugin WordPress infectat, denumit „download-monitor.”

„Download-monitor a fost instalat după descoperirea datelor slabe de autentificare ale administratorului WordPress ale honeypot-ului,  au declarat cercetătorii de la Akamai. „Un binar Golang cu 3MB UPX a fost, de asemenea, descărcat pe /tmp. După examinare, era evident că malware-ul dispunea de o anumită funcție de decriptare și de un fișier criptat stocat într-un alt director.”

Obiectivul este de a instala un binar Golang care utilizează un număr de aplicații Oracle Weblogic cunoscute pentru a infecta sistemele cu date de autentificare slabe și a instala XMRig, un software de minare de cripto-monedă. Bineînțeles, utilizează, de asemenea, și numeroase tactici de confuzie, în încercarea de a rămâne ascuns.

„Observarea consumului neobișnuit de mare de resurse de sistem, a proceselor ciudate/neobișnuite în desfășurare, a artefactelor neobișnuite (fișiere, intrări crontab, chei SSH, etc.), a intrărilor suspecte din jurnalele de acces și nu numai va contribui la potențiala identificare a mașinilor compromise”, au adăugat cercetătorii. De asemenea, este disponibilă și o listă completă a indicatorilor de compromitere.