Зловреден софтуер CoinStomp

CoinStomp е ново семейство злонамерен софтуер, което изглежда е проектирано да заразява облачни услуги и след това да използва техните ресурси за копаене за криптовалута. Тези атаки станаха известни като криптоджакинг. Подробности за тази конкретна заплаха от зловреден софтуер бяха разкрити на обществеността в доклад на Cado Security.

Според техните констатации, CoinStomp се състои от шел скриптове, които се опитват да експлоатират облачни компютърни екземпляри, принадлежащи на различни доставчици на облачни услугидо голяма степен. Досега повечето цели на CoinStomp са били доставчици на облак, разположени в Азия. Изследователите откриха препратка към заплахата от криптоджакинг, проследявана като Xanthe в несъществуващ URL адрес на полезен товар. Този факт обаче сам по себе си не е достатъчен, за да подкрепи приписването на заплахата с високо доверие към групата на киберпрестъпниците. Освен това, той може да е оставен от истинските виновници като опит за премахване на изследователите по сигурността.

Застрашаващи способности

CoinStomp е оборудван с няколко техники против откриване. Най-известният от тях се върти около 'time-stamping', метод за манипулиране на времеви печати чрез командата за докосване на Linux. Това позволява на нападателите да скрият случаи, в които са били използвани помощните програми chmod и chattr.

В допълнение, заплахата също ще се опита да отслаби целевия Linux сървър, като спре неговите криптографски политики. Целта на тези политики е да защитят системата от заплахи от злонамерен софтуер, които се изпускат и изпълняват върху нея. За да улеснят натрапчивите действия на зловредния софтуер CoinStomp, неговите създатели са добавили рутина, която използва команда kill за деактивиране на криптографските политики за цялата система.

CoinStomp отваря обратна обвивка, за да установи комуникация със своя сървър за командване и управление (C2, C&C). Ако успеят, нападателите могат да използват заплахата, за да доставят допълнителни заплашителни полезни товари, включително двоични файлове за по-мощни задни врати и персонализирана версия на XMRig , софтуер за копаене на криптовалута Monero. Полезният обем следващия етап ще се провеждат както в цялата система systemd услуги и ще бъдат дадени корен привилегии.