Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Malware Xanthe Malware

Xanthe Malware

Med GoldSparrow i Malware
Oversæt til:
Dansk

Væksten i skymiljøer og tjenester har ændret det teknologiske landskab enormt på et utal af måder. Et af de aspekter, der ikke bør overses, er sikkerhed. Mens Windows-desktopsystemer i en betydelig periode var de primære mål for cyberkriminelle, og de stadig er, er der også sket et betydeligt skift. Faktisk kører flere og flere værter på Internettet Linux og er et meget lettere bytte på grund af den ekstra indsats, de har brug for, når de opbygger deres sikkerhedsforanstaltninger sammenlignet med interne Windows-systemer. Indtil videre har infosec-forskere i 2020 observeret flere kampagner målrettet mod netop sådanne systemer, hvoraf en af de nyeste er Xanthe Malware.

Xanthe Malware er et multimodulært botnet og en malware-trussel, der udnytter forkert konfigurerede Docker API-installationer til at inficere Linux-systemer. Når de er inde, implementerer Xanthe en variant af den populære XMRig Monero-kryptomining-malware og høster legitimationsoplysninger og certifikater på klientsiden, som den bruger til at udbrede sig selv.

Den oprindelige fil, der slettes på det målrettede system, er et downloaderscript med navnet pop.sh, der har til opgave at downloade det eksekverende hovedmodul af botnet - xanthe.sh. Når Xanthe er implementeret, slipper han yderligere fire malware-moduler, som hver er ansvarlige for forskellige skadelige funktioner:

  • libprocesshider.so - et proces-skjult modul
  • xesa.txt - et shell-script, der deaktiverer andre kryptomining-malware-trusler samt sikkerhedssoftware
  • fczyo - et shell-script, der har til opgave at fjerne konkurrerende Docker-målrettede kryptominere
  • config.json - binærfunktionen i XMRig Monero crypto-miner-varianten

Hovedmodulet forsøger at sprede sig til andre systemer, både forbundet til lokale såvel som eksterne netværk. Til dette formål opnår Xanthe IP-adressen til den kompromitterede vært ved at oprette forbindelse til icanhazip.com. Derefter høster malware-truslen certifikater på klientsiden ved at udnytte værktøjet 'find'. Når alle nøgler er opnået, ser Xanthe efter kendte TCP-porte, værter og adgangskoder til disse værter. En sløjfeproces, der gentager alle mulige kombinationer af den opnåede information, bruges i et forsøg på at oprette forbindelse til fjernværter. Hvis det lykkes, downloader og udfører Xanthe sit hovedmodul på fjernsystemet via kommandolinjer.

Trending

Mest sete

Indlæser...