Malware CoinStomp

CoinStomp je nová rodina malwaru, která se zdá být navržena tak, aby infikovala cloudové služby a následně využila jejich zdroje k těžbě kryptoměn. Tyto útoky se staly známými jako cryptojacking. Podrobnosti o této konkrétní malwarové hrozbě byly veřejnosti odhaleny ve zprávě Cado Security.

Podle jejich zjištění se CoinStomp skládá ze skriptů shellu, které se snaží zneužít instance cloudových počítačů patřících různým poskytovatelům cloudových služeb.převážně. Doposud byla většina cílů CoinStompu poskytovateli cloudu v Asii. Výzkumníci našli odkaz na aktéra hrozby kryptojackingu sledovaného jako Xanthe v zaniklé adrese URL užitečného obsahu. Tato skutečnost však sama o sobě nestačí k tomu, aby bylo možné s vysokou důvěrou připsat hrozbu kyberzločinecké skupině. Kromě toho to mohli zanechat skuteční viníci jako pokus o to, aby se to prostřednictvím bezpečnostních výzkumníků zbavilo.

Ohrožující schopnosti

CoinStomp je vybaven několika antidetekčními technikami. Nejvýraznější z nich se točí kolem 'time-stomping', což je metoda pro manipulaci s časovými razítky prostřednictvím dotykového příkazu Linuxu. Díky tomu mohou útočníci skrýt instance, kde byly použity nástroje chmod a chattr.

Kromě toho se hrozba také pokusí oslabit cílový server Linux zastavením jeho kryptografických zásad. Účelem těchto zásad je chránit systém před hrozbami malwaru, které jsou na něm vypuštěny a spuštěny. Pro usnadnění rušivých akcí malwaru CoinStomp přidali jeho tvůrci rutinu, která používá příkaz kill k deaktivaci šifrovacích zásad v celém systému.

CoinStomp otevře reverzní shell pro navázání komunikace se svým serverem Command-and-Control (C2, C&C). Pokud budou úspěšní, mohou útočníci využít hrozbu k dodání dalších ohrožujících užitečných zátěží, včetně binárních souborů pro výkonnější zadní vrátka a přizpůsobené verze XMRig , softwaru pro těžbu kryptoměn Monero. Další fáze dat budou spuštěny jako systémové služby pro celý systém a budou mít oprávnění root.