Juniper Threat Labs a descoperit (19 septembrie, 2018) un nou val de atacuri de vierme cryptominer de redirectionare servere Linux, dispozitive de retea si IOT. Aceste atacuri au fost combinate cu o serie de exploituri pentru a se raspândi rapid si pe scara larga. Atacul are trei parti: infectie, minerit si raspândire.
Site-ul la care face redirect este o clona a unui site legitim de afaceri. Acesta gazduieste malware-ul pentru atac si actioneaza ca un server-comanda si control. Sunt descarcate doua scripturi shell Linux, miner.sh si scanner.sh, care apoi sunt executate în fundal.
În primul rând, viermele încearca sa descarce si sa execute doi mineri Criptomoneda open-source (screeenshot), unul pentru sistemele Linux care ruleaza pe hardware x86 si un altul pentru sistemele Linux bazate pe ARM, cum ar fi Raspberry Pi sau IOT.
Dupa lansarea ambelor scripturi (cel putin una dintre care va esua din cauza incompatibilitatii hardware) viermele realizeaza persistenta prin suprascrierea scriptului de pornire Bashrc al utilizatorului.
A doua sarcina este de a raspândi infectia cu cât mai larg posibil. Desi scriptul minier descarca binare pentru ambele x86 si ARM, propagare a atacului functioneaza numai pe masinile bazate pe x86.
Malware-ul utilizat si detectat de Sky ATP pentru Linux:
Trojandownloader: Cryptominer and on JATP as LINUX_BRUTEFORCESSH.
Daca aveti notificări privind încălcarea drepturilor de autor pe websiteul gnulinux.ro, trebuie să includeti următoarele informatii: 1. Informațiile de contact
- nume complet, adresa de e-mail, adresa fizică si numărul de telefon. 2. O descriere a lucrării în privința căreia credeți că vi s-au încălcat drepturile
- descrieți în mod clar și complet conținutul protejat prin drepturile de autor pe care încercați să îl protejați. 3. Adresă URL care încalcă drepturile de autor
- Reclamația trebuie să conțină adresa URL exactă a conținutului despre care considerați că vă încalcă drepturile.
- Reclamația trebuie să conțină adresa URL exactă a conținutului care considerați că a fost copiat/plagiat. 4. Trebuie să acceptați copiind textul din afirmațiile care urmează: Consider, cu bună credință, că utilizarea materialelor protejate prin drepturi de autor descrise mai sus, despre care se presupune că încalcă drepturile, nu este autorizată de deținătorul drepturilor de autor, de reprezentantul său sau de lege.”
.Informațiile cuprinse în această notificare sunt exacte și declar, că sunt deținătorul drepturilor de autor sau că sunt autorizat(ă) să acționez în numele deținătorului unui drept exclusiv despre care se presupune că a fost încălcat. 5. Semnătura dvs.
Reclamația trebuie să includă in partea de jos, numele si prenumele in clar a deținătorului drepturilor de autor sau a unui reprezentant autorizat să acționeze în numele acestuia.