Il malware per il Crypto Mining sta evolvendo rapidamente

by Matteo Gatti on

Con l’enorme crescita del valore di Bitcoin e delle altre criptovalute era prevedibile anche una crescita (sia in termini di numeri che di qualità) del malware per il crypto mining. Ad agosto è emersa una nuova botnet gestita da un’organizzazione criminale che si fa chiamare TeamTNT.

A scoprire la botnet è stata la società di sicurezza Trendmicro che ne ha anche delineato le capacità. La botnet colpisce  sistemi Docker mal configurati. Fondamentalmente il malware lancia uno script chiamato mxutzh.sh, che cerca eventuali porte aperte (2375, 2376, 2377, 4243, 4244). Se ne trova una crea un container Alpine Linux che ospita un bot DDoS.

Il container così creato scarica un altro script, chiamato init.sh, che installa le componenti necessarie all’attivita di crypto mining.

TeamTNT compare una nuova versione della Botnet

Proprio ieri, sempre Trendmicro, ha pubblicato un report in cui spiega di aver trovato una seconda versione della botnet, più potente e raffinata. Se prima il malware colpiva solo Docker ora è in grado di mettere nel mirino anche i server AWS.

Rispetto alle precedenti versioni, la tecnica di attacco è stata raffinata molto

ha affermato Alfredo Oliveira, ricercatore senior di sicurezza presso Trend Micro.

In prima istanza viene preparato l’ambiente scaricando alcuni tool necessari. Dopodiché lo script cerca informazioni sensibili (API Docker, credenziali AWS) e le carica su un server gestito dai criminali. Viene poi creato un account con permessi di root a cui ci si può connettere via SSH per mantenere il controllo della macchina.

Il malware per il Crypto Mining sta evolvendo rapidamente

Solo a questo punto viene scaricato il miner che si nasconde nei meandri del sistema e inizia il suo lavoro.

L’evoluzione del malware

Sembra che gli sviluppatori di malware per il crypto mining non siano più interessati al solo mining. Inizialmente non facevano altro che distribuire downloader di miner in modo da massimizzare i profitti senza molto criterio.

Le tattiche ora si sono ora evolute in modo esponenziale. Gli script dannosi ora vengono sviluppati per rubare dati sensibili come le credenziali. Sono anche dotati di altre funzioni, come preparare l’ambiente per assicurarsi che abbia risorse sufficienti per minare. Sono più furtivi, si nascondono nel sistema e installano anche backdoor nel caso in cui debbano connettersi da remoto ai server infetti.

Poiché gli attacchi ora cercano anche le credenziali Docker, l’implementazione dell’autenticazione per le API non è più sufficiente. Gli amministratori di sistema dovrebbero anche assicurarsi che l’API non sia esposta pubblicamente e che sia accessibile solo a chi ne ha effettivamente bisogno.

Il malware per il Crypto Mining sta evolvendo rapidamenteSeguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.

L'articolo Il malware per il Crypto Mining sta evolvendo rapidamente sembra essere il primo su Linux Freedom.

Leggi il contenuto originale su Linux Freedom

Written by: Matteo Gatti