CoinStomp Malware
CoinStomp er en ny malware-familie, der ser ud til at være designet til at inficere cloud-tjenester og derefter bruge deres ressourcer til at mine efter kryptovaluta. Disse angreb er blevet kendt som cryptojacking. Detaljer om denne særlige malware-trussel blev afsløret for offentligheden i en rapport fra Cado Security.
Ifølge deres resultater består CoinStomp af shell-scripts, der forsøger at udnytte Cloud-computerforekomster, der tilhører forskellige Cloud-tjenesteudbyderei det store hele. Hidtil har de fleste CoinStomp-mål været Cloud-udbydere i Asien. Forskerne fandt en henvisning til kryptojacking-truslen, der blev sporet som Xanthe i en nedlagt nyttelast-URL. Denne kendsgerning alene er dog ikke nok til at understøtte, at truslen med høj tillid tilskrives den cyberkriminelle gruppe. Desuden kan det være blevet efterladt af de virkelige skyldige som et forsøg på at gennem sikkerhedsforskere af.
Truende egenskaber
CoinStomp er udstyret med adskillige anti-detektionsteknikker. Den mest fremtrædende kredser om 'time-stomping', en metode til at manipulere tidsstempler via Linux touch-kommandoen. Hvis du gør det gør det muligt for angribere at skjule tilfælde, hvor chmod og chattr forsyningsselskaber blev brugt.
Derudover vil truslen også forsøge at svække den målrettede Linux-server ved at stoppe dens kryptografiske politikker. Formålet med disse politikker er at beskytte systemet mod malware-trusler, der droppes og udføres på det. For at lette de påtrængende handlinger af CoinStomp-malwaren har dens skabere tilføjet en rutine, der bruger en dræb-kommando til at deaktivere systemdækkende kryptografiske politikker.
CoinStomp åbner en omvendt shell for at etablere kommunikation med dens Command-and-Control (C2, C&C) server. Hvis det lykkes, kan angriberne derefter bruge truslen til at levere yderligere truende nyttelaster, inklusive binære filer til mere kraftfulde bagdøre og en tilpasset version af XMRig, en Monero krypto-mine-software. De næste trins nyttelaster vil blive kørt som systemdækkende systemtjenester og vil få root-rettigheder.
