La divisione di sicurezza informatica di AT&T analizza la minaccia dei miner Cripto per i server di posta elettronica

Alien Labs di AT&T sta sperimentando l'analisi dei malware di cryptomining con una nuova analisi tecnologica del modo in cui un miner Monero si infiltra nelle reti.

Pubblicato giovedì, ilrapporto dal ricercatore di sicurezza Fernando Domínguez fornisce una guida dettagliata su come ONE cryptojacker piuttosto poco noto infetta e si diffonde attraverso server Exim, Confluence e WebLogic vulnerabili, installando codice dannoso che estrae Monero tramite un proxy. I server Exim rappresentano più della metà di tutti i server di posta elettronica, secondo ZDNet.

Il worm inietta prima nei server di destinazione uno script BASH che verifica e uccide i processi di mining concorrenti prima di tentare di infiltrarsi in altre macchine note nella rete. Crypto-minerspesso uccidono i minatori concorrenti quando infettano un sistema, e per ONE motivo molto semplice: più CPU monopolizza un processo diverso, meno ne rimane per gli altri, secondo il rapporto.

I server violati scaricano quindi il payload dello script: una "omelette" (come viene chiamata la variabile del file eseguibile scaricato) basata sul miner Monero open source denominato XMRig.

Disponibile su GitHub, XMRig è uno dei malware hacker preferiti e un elemento comune nell'arsenale dei cryptojacker. È stato adattato inMinatori di MacBook,diffondere attraverso500.000 computer e, nel 2017, è diventato così popolare che i report di mining dannosiha raggiunto un picco di oltre 400per cento.

Questo miner modificato svolge la sua attività tramite proxy, secondo AT&T Alien Labs. Ciò rende il tracciamento dei fondi, o persino il riconoscimento dell'indirizzo del portafoglio, quasi impossibile senza l'accesso al server proxy.

Friggere questa frittata è dura. Quando si scarica, si scarica anche un altro file chiamato "sesame", identico allo script BASH originale. Questa è la chiave della persistenza del worm: si aggancia a un cron job con un intervallo di cinque minuti, il che gli consente di resistere ai tentativi di kill e agli arresti del sistema. Può persino aggiornarsi automaticamente con nuove versioni.

AT&T Alien Labs ha iniziato a seguire il worm a giugno 2019. Era stato precedentemente studiato dalla società di analisi della sicurezza cloud Lacework a luglio.

I ricercatori T sanno esattamente quanto sia diffuso questo minatore Monero senza nome. Il rapporto di Alien Labs ammette che "è difficile stimare quanti guadagni questa campagna abbia riportato all'attore della minaccia", ma nota che la campagna "non è molto grande".

Ciononostante, vale la pena ricordare a tutti gli operatori di server: KEEP sempre il vostro software aggiornato e con le patch più recenti.