Ερευνητές ασφαλείας εντόπισαν ένα cryptomining κακόβουλο λογισμικό, το οποίο χρησιμοποιεί cron job για να μολύνει υπολογιστές Linux, οι οποίοι ήταν ήδη μολυσμένοι αλλά είχε γίνει αφαίρεση των κακόβουλων αρχείων. Ουσιαστικά ξαναμολύνει τα συστήματα.
Το κακόβουλο λογισμικό εντοπίστηκε αρχικά σε έναν web server. To cryptomining λογισμικό είχε σχεδιαστεί με τέτοιο τρόπο, ώστε να χρησιμοποιεί όλους τους διαθέσιμους πόρους του μολυσμένου Linux συστήματος.
Ο ερευνητής Luke Leal ανακάλυψε ότι οι hackers κατεβάζουν το cryptominer χρησιμοποιώντας ένα Bash script, που έχει εγκατασταθεί στο server. Δεν είναι γνωστή ακόμα η μέθοδος με την οποία γίνεται η εγκατάσταση. Πιθανότατα γίνεται εκμετάλλευση κάποιας ευπάθειας ή κλοπή των credentials του διαχειριστή.
Το κακόβουλο Bash script, με την ονομασία cr2.sh, κατεβάζει το cryptominer payload στέλνοντας αίτημα σε έναν server, που ελέγχεται από τους hackers.
Στη συνέχεια, το κακόβουλο miner, που φορτώνεται στη μνήμη του κεντρικού υπολογιστή Linux, διαγράφει το payload και το αρχείο διαμόρφωσης, προκειμένου να καλυφθεί και να κρύψει την παρουσία του.
Το κακόβουλο λογισμικό μπορεί να ξαναμολύνει το σύστημα δημιουργώντας cron job, που εκτελείται κάθε λεπτό, ελέγχοντας για το cr2.sh Bash script, που χρησιμοποιήθηκε στο αρχικό στάδιο της μόλυνσης. Αν δεν το βρει, το ξαναφορτώνει αυτόματα και το εκτελεί.
Με την προσθήκη του cron job, το κακόβουλο πρόγραμμα θα μπορεί να ξαναμολύνει αυτόματα τον κεντρικό υπολογιστή Linux, ακόμη και αν ο διαχειριστής προσπαθήσει να σταματήσει τη διαδικασία και να αφαιρέσει όλα τα κακόβουλα αρχεία από το σκληρό δίσκο.
Οι ερευνητές ανέφεραν, επίσης, ότι δεν αποτελούν στόχο μόνο οι web servers. Το κακόβουλο λογισμικό μπορεί να μολύνει και desktop εγκαταστάσεις 32 / 64bit Linux συστημάτων.
Τον τελευταίο καιρό, η πλατφόρμα Linux γίνεται όλο και πιο συχνά στόχος των hackers, που χρησιμοποιούν cryptomining κακόβουλα λογισμικά και στοχεύουν στην κλοπή cryptocurrency. Πρόσφατα, εντοπίστηκε ένα Backdoor Trojan, γνωστό ως SpeakUp, το οποίο στοχεύει servers, που λειτουργούν με έξι διαφορετικές διανομές Linux και εγκαθιστούν XMRig miners.
