CoinStomp Malware
CoinStomp è una nuova famiglia di malware che sembra essere progettata per infettare i servizi Cloud e quindi utilizzare le loro risorse per estrarre criptovaluta. Questi attacchi sono diventati noti come cryptojacking. I dettagli su questa particolare minaccia malware sono stati rivelati al pubblico in un rapporto di Cado Security.
Secondo i loro risultati, CoinStomp è costituito da script di shell che tentano di sfruttare le istanze di computer Cloud appartenenti a vari fornitori di servizi Cloudin gran parte. Finora, la maggior parte degli obiettivi di CoinStomp sono stati fornitori di cloud con sede in Asia. I ricercatori hanno trovato un riferimento all'attore della minaccia di cryptojacking rintracciato come Xanthe in un URL di payload defunto. Tuttavia, questo fatto da solo non è sufficiente a supportare l'attribuzione della minaccia con grande sicurezza al gruppo di criminali informatici. Inoltre, potrebbe essere stato lasciato dai veri colpevoli come tentativo di eliminare i ricercatori della sicurezza.
Capacità minacciose
CoinStomp è dotato di diverse tecniche anti-rilevamento. Il più importante ruota attorno al "time-stomping", un metodo per manipolare i timestamp tramite il comando touch di Linux. Ciò consente agli aggressori di nascondere le istanze in cui sono state utilizzate le utilità chmod e chattr.
Inoltre, la minaccia cercherà anche di indebolire il server Linux preso di mira interrompendo le sue politiche crittografiche. Lo scopo di queste politiche è proteggere il sistema dalle minacce malware che vengono eliminate ed eseguite su di esso. Per facilitare le azioni intrusive del malware CoinStomp, i suoi creatori hanno aggiunto una routine che utilizza un comando kill per disabilitare le politiche crittografiche a livello di sistema.
CoinStomp apre una shell inversa per stabilire la comunicazione con il suo server Command-and-Control (C2, C&C). In caso di successo, gli aggressori possono quindi utilizzare la minaccia per fornire ulteriori payload minacciosi, inclusi binari per backdoor più potenti e una versione personalizzata di XMRig, un software di cripto-mining Monero. I payload della fase successiva verranno eseguiti come servizi systemd a livello di sistema e riceveranno i privilegi di root.
