Un nuovo worm trasforma i server Windows e Linux in minatori Monero

Condividi l'articolo

Che ne pensi?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0

Dall’inizio di dicembre, un malware basato su Golang, scoperto di recente e auto-diffondente, ha rilasciato attivamente minatori di criptovaluta XMRig su server Windows e Linux.

Questo malware multipiattaforma ha anche capacità di worm che gli consentono di diffondersi ad altri sistemi forzando “brutemente” servizi rivolti al pubblico (ad esempio, MySQL, Tomcat, Jenkins e WebLogic) con password deboli, come rivelato dal ricercatore di sicurezza di Intezer Avigayil Mechtinger.

Gli aggressori dietro questa campagna hanno attivamente aggiornato le capacità del worm attraverso il suo server di comando e controllo (C2) da quando è stato individuato per la prima volta, il che allude a un malware gestito attivamente.

Il server C2 viene utilizzato per ospitare lo script bash o dropper PowerShell (a seconda della piattaforma di destinazione), un worm binario basato su Golang e il minatore XMRig distribuito per estrarre di nascosto la criptovaluta Monero non rintracciabile sui dispositivi infetti.

“Il binario del worm ELF e lo script bash dropper sono entrambi completamente inosservati in VirusTotal al momento di questa pubblicazione”, ha detto Mechtinger.

Brute force e sfruttamento dei server esposti

Il worm si diffonde ad altri computer scansionando e forzando i servizi MySql, Tomcat e Jenkins utilizzando lo spraying di password e un elenco di credenziali hardcoded.

Sono state anche viste versioni precedenti del worm che tentavano di sfruttare la vulnerabilità legata all’esecuzione di codice in modalità remota Oracle WebLogic CVE-2020-14882.

Una volta che riesce a compromettere uno dei server mirati, distribuirà lo script del caricatore (ld.sh per Linux e ld.ps1 per Windows) che rilascia sia il minatore XMRig che il binario worm basato su Golang.

Il malware si ucciderà automaticamente se rileva che i sistemi infetti sono in ascolto sulla porta 52013. Se la porta non è in uso, il worm aprirà il proprio socket di rete.

“Il fatto che il codice del worm sia quasi identico sia per il malware PE che per quello ELF, e il malware ELF che non viene rilevato in VirusTotal, dimostra che le minacce Linux stanno ancora volando sotto il radar per la maggior parte delle piattaforme di rilevamento e sicurezza”, ha aggiunto Mechtinger.

Come proteggersi da questi attacchi

Per difendersi dagli attacchi di brute force lanciati da questo nuovo worm multipiattaforma, è necessario limitare gli accessi e utilizzare password difficili da indovinare su tutti i servizi esposti a Internet, nonché l’autenticazione a due fattori quando possibile.
Mantenere il software sempre aggiornato e assicurarsi che i server non siano raggiungibili su Internet a meno che non sia assolutamente necessario sono altri modi per difendersi da questa nuova minaccia malware.

Fonte: https://www-bleepingcomputer-com.cdn.ampproject.org/

Esprimi il tuo parere!

Questo articolo ti è stato utile? Fammi sapere che ne pensi lasciando un commento nell’apposita sezione che trovi più in basso.

Per altre domande, informazioni o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].

Che ne pensi?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0

Condividi l'articolo

Iscriviti al blog tramite email

Inserisci il tuo indirizzo e-mail per iscriverti a questo blog, e ricevere via e-mail le notifiche di nuovi post.

0 0 votes
Article Rating

Rispondi

0 Commenti
Inline Feedbacks
View all comments
Stai visitando il sito con Adblock In questo modo rendi inutile il mio lavoro. Se ci tieni al nostro futuro, per favore disabilita Adblock!
You are visiting the site with Adblock (This will make my work useless). If you care about our future, please disable Adblock!

Clicca con il tasto destro del mouse sull’icona di uno di questi Adblock del tuo browser…

Questa immagine ha l'attributo alt vuoto; il nome del file è adb-2.jpeg

…e disabilitalo come da esempio:

Aggiornando la pagina ora potrai navigare liberamente su guruhitech.com. Grazie! 🙂

0
Would love your thoughts, please comment.x