תוכנה זדונית של CoinStomp
CoinStomp היא משפחת תוכנות זדוניות חדשה שנראה כי תוכננה להדביק שירותי ענן ולאחר מכן להשתמש במשאבים שלהם כדי לכרות מטבעות קריפטוגרפיים. התקפות אלה זכו לכינוי קריפטו-jacking. פרטים על האיום הספציפי הזה של תוכנות זדוניות נחשפו לציבור בדו"ח של Cado Security.
לפי הממצאים שלהם, CoinStomp מורכב מסקריפטים של מעטפת המנסים לנצל מופעי מחשב בענן השייכים לספקי שירותי ענן שוניםבמידה רבה. עד כה, רוב יעדי CoinStomp היו ספקי ענן הממוקמים באסיה. החוקרים מצאו התייחסות לשחקן איום גניבת ההצפנה המלווה כ-Xanthe בכתובת אתר של מטען שהוצא משימוש. עם זאת, עובדה זו לבדה אינה מספיקה כדי לתמוך בייחוס האיום בביטחון רב לקבוצת פושעי הסייבר. יתרה מזאת, ייתכן שהאשמים האמיתיים השאירו אותו כניסיון לעבור דרך חוקרי אבטחה.
יכולות מאיימות
CoinStomp מצויד במספר טכניקות נגד זיהוי. הבולטת שבהן סובבת סביב 'ריבוע זמן', שיטה למניפולציה של חותמות זמן באמצעות פקודת המגע של לינוקס. פעולה זו מאפשרת לתוקפים להסתיר מקרים שבהם נעשה שימוש בכלי השירות chmod ו- chatr.
בנוסף, האיום גם ינסה להחליש את שרת לינוקס הממוקד על ידי עצירת מדיניות ההצפנה שלו. מטרת מדיניות זו היא להגן על המערכת מפני איומי תוכנות זדוניות שהופלו ובוצעו עליה. כדי להקל על הפעולות החודרניות של התוכנה הזדונית CoinStomp, יוצריה הוסיפו שגרה המשתמשת בפקודת kill כדי להשבית את מדיניות ההצפנה בכל המערכת.
CoinStomp פותחת מעטפת הפוכה כדי ליצור תקשורת עם שרת ה-Command-and-Control (C2, C&C) שלה. אם יצליחו, התוקפים יכולים להשתמש באיום כדי לספק מטענים מאיימים נוספים, כולל קבצים בינאריים לדלתות אחוריות חזקות יותר וגרסה מותאמת אישית של XMRig, תוכנת כריית קריפטו של Monero. המטענים בשלב הבא יופעלו כשירותי מערכת כלל-מערכתיים ויקבלו הרשאות שורש.
