Un vierme cryptominer pentru Linux, utilizeaza GitHub pentru a construi botnet

Juniper Threat Labs a descoperit (19 septembrie, 2018) un nou val de atacuri de vierme cryptominer de redirectionare servere Linux, dispozitive de retea si IOT. Aceste atacuri au fost combinate cu o serie de exploituri pentru a se raspândi rapid si pe scara larga. Atacul are trei parti: infectie, minerit si raspândire.

Site-ul la care face redirect este o clona a unui site legitim de afaceri. Acesta gazduieste malware-ul pentru atac si actioneaza ca un server-comanda si control. Sunt descarcate doua scripturi shell Linux, miner.sh si scanner.sh, care apoi sunt executate în fundal.

În primul rând, viermele încearca sa descarce si sa execute doi mineri Criptomoneda open-source (screeenshot), unul pentru sistemele Linux care ruleaza pe hardware x86 si un altul pentru sistemele Linux bazate pe ARM, cum ar fi Raspberry Pi sau IOT.

Dupa lansarea ambelor scripturi (cel putin una dintre care va esua din cauza incompatibilitatii hardware) viermele realizeaza persistenta prin suprascrierea scriptului de pornire Bashrc al utilizatorului.

A doua sarcina este de a raspândi infectia cu cât mai larg posibil. Desi scriptul minier descarca binare pentru ambele x86 si ARM, propagare a atacului functioneaza numai pe masinile bazate pe x86.

Malware-ul utilizat si detectat de Sky ATP pentru Linux:

Trojandownloader: Cryptominer and on JATP as LINUX_BRUTEFORCESSH.