Μια νέα οικογένεια malware που στοχεύει υπηρεσίες cloud για εξόρυξη κρυπτονομισμάτων ανακαλύφθηκε από ερευνητές. Με το όνομα CoinStomp, το malware έχει παραβιαστεί από shell scripts που «προσπαθούν να εκμεταλλευτούν cloud compute instances που φιλοξενούνται από παρόχους υπηρεσιών cloud με σκοπό την εξόρυξη cryptocurrency», σύμφωνα με την Cado Security.
Δείτε επίσης: Κακόβουλα αρχεία CSV εγκαθιστούν το BazarBackdoor malware
Οι ερευνητές της εταιρείας λένε ότι ο γενικός σκοπός του CoinStomp είναι να παραβιάσει αθόρυβα instances προκειμένου να αξιοποιήσει την υπολογιστική ισχύ για την παράνομη εξόρυξη κρυπτονομισμάτων, μια μορφή επίθεσης γνωστής ως cryptojacking.
Δείτε επίσης: Lazarus: Χρησιμοποιεί το Windows Update για να αναπτύξει malware
Ορισμένες απόπειρες επίθεσης έχουν επικεντρωθεί, μέχρι στιγμής, σε παρόχους υπηρεσιών cloud στην Ασία.
Οι ενδείξεις στον κώδικα αναφέρονταν και στην Xanthe, μια απειλητική ομάδα που συνδέθηκε πρόσφατα με το botnet Abcbot. Ωστόσο, η ένδειξη – που βρέθηκε σε μια ανενεργή διεύθυνση payload URL – δεν είναι αρκετή για να διαπιστωθεί με σαφήνεια ποιος είναι υπεύθυνος για το CoinStomp.
Το CoinStomp έχει μια σειρά από ενδιαφέρουσες δυνατότητες. Το ένα είναι η εξάρτησή του από το “timestomping” – ο χειρισμός των timestamps εκτελώντας την εντολή touch -t σε συστήματα Linux για την ενημέρωση της τροποποίησης αρχείων και των χρόνων πρόσβασης.
Επιπλέον, το malware επιχειρεί να προσαρμόσει τις “Linux server cryptographic πολιτικές”. Αυτές οι πολιτικές μπορούν να αποτρέψουν την απόρριψη ή την εκτέλεση κακόβουλων εκτελέσιμων αρχείων, και έτσι ο προγραμματιστής του CoinStomp έχει συμπεριλάβει λειτουργίες για την απενεργοποίηση των πολιτικών κρυπτογράφησης σε όλο το σύστημα μέσω μιας εντολής kill.
Δείτε επίσης: Gamaredon: Οι ρώσοι χάκερ χρησιμοποιούν 8 νέα malware payloads
Το CoinStomp θα δημιουργήσει μια σύνδεση με τον command-and-control (C2) server μέσω ενός reverse shell. Στη συνέχεια, το script κατεβάζει και εκτελεί περαιτέρω payloads ως υπηρεσίες systemd σε όλο το σύστημα, με δικαιώματα root.
Αυτά περιλαμβάνουν binaries για πιθανή δημιουργία backdoor και μια προσαρμοσμένη έκδοση του XMRig, του νόμιμου Monero mining software το οποίο χρησιμοποιείται για εγκληματικούς σκοπούς.
Πηγή πληροφοριών: zdnet.com
