Il malware per il Crypto Mining sta evolvendo rapidamente
Con l’enorme crescita del valore di Bitcoin e delle altre criptovalute era prevedibile anche una crescita (sia in termini di numeri che di qualità) del malware per il crypto mining.
Ad agosto è emersa una nuova botnet gestita da un’organizzazione criminale che si fa chiamare TeamTNT.
A scoprire la botnet è stata la società di sicurezza Trendmicro che ne ha anche delineato le capacità. La botnet colpisce sistemi Docker mal configurati. Fondamentalmente il malware lancia uno script chiamato mxutzh.sh, che cerca eventuali porte aperte (2375, 2376, 2377, 4243, 4244). Se ne trova una crea un container Alpine Linux che ospita un bot DDoS.
Il container così creato scarica un altro script, chiamato init.sh, che installa le componenti necessarie all’attivita di crypto mining.
TeamTNT compare una nuova versione della Botnet
Proprio ieri, sempre Trendmicro, ha pubblicato un report in cui spiega di aver trovato una seconda versione della botnet, più potente e raffinata. Se prima il malware colpiva solo Docker ora è in grado di mettere nel mirino anche i server AWS.
Rispetto alle precedenti versioni, la tecnica di attacco è stata raffinata molto
ha affermato Alfredo Oliveira, ricercatore senior di sicurezza presso Trend Micro.
In prima istanza viene preparato l’ambiente scaricando alcuni tool necessari. Dopodiché lo script cerca informazioni sensibili (API Docker, credenziali AWS) e le carica su un server gestito dai criminali. Viene poi creato un account con permessi di root a cui ci si può connettere via SSH per mantenere il controllo della macchina.
Solo a questo punto viene scaricato il miner che si nasconde nei meandri del sistema e inizia il suo lavoro.
L’evoluzione del malware
Sembra che gli sviluppatori di malware per il crypto mining non siano più interessati al solo mining. Inizialmente non facevano altro che distribuire downloader di miner in modo da massimizzare i profitti senza molto criterio.
Le tattiche ora si sono ora evolute in modo esponenziale. Gli script dannosi ora vengono sviluppati per rubare dati sensibili come le credenziali. Sono anche dotati di altre funzioni, come preparare l’ambiente per assicurarsi che abbia risorse sufficienti per minare. Sono più furtivi, si nascondono nel sistema e installano anche backdoor nel caso in cui debbano connettersi da remoto ai server infetti.
Poiché gli attacchi ora cercano anche le credenziali Docker, l’implementazione dell’autenticazione per le API non è più sufficiente. Gli amministratori di sistema dovrebbero anche assicurarsi che l’API non sia esposta pubblicamente e che sia accessibile solo a chi ne ha effettivamente bisogno.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
Fonte: https://www.lffl.org/2021/01/crypto-mining-botnet-teamtnt.html
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.