CryptoSink

Nel 2019 i ricercatori di malware hanno scoperto una campagna illecita di mining di criptovaluta chiamata CryptoSink. Gli aggressori sembrano sfruttare una vulnerabilità nota per compromettere i sistemi di destinazione. L'exploit utilizzato nell'operazione CryptoSink si chiama "CVE-2014-3120" ed è correlato a una versione precedente dell'applicazione Elasticsearch. Il programma in questione è compatibile con i sistemi Windows e Linux. Per questo motivo, gli operatori della campagna CryptoSink hanno reso la loro minaccia compatibile con entrambi i sistemi operativi.

Guadagnare persistenza

Per compromettere il sistema di destinazione, la minaccia CryptoSink inietterà una variante modificata del famigerato minatore di criptovaluta XMRig. A seconda che la minaccia sia distribuita su un sistema Windows o Linux, otterrà la persistenza sull'host in modo diverso. Per ottenere la persistenza su un computer Windows, la minaccia CryptoSink userebbe diversi trucchi di base. Tuttavia, quando la minaccia CryptoSink compromette un sistema Linux, dovrà utilizzare tecniche molto più complesse per ottenere persistenza. Non appena il malware CryptoSink riesce a infettare un sistema Linux, recupererà diversi payload danneggiati che aiuteranno gli aggressori a ottenere l'accesso backdoor alla macchina. È stato segnalato anche che la minaccia CryptoSink modifica il comando 'rm', il che significa che ogni volta che viene utilizzato questo comando, in particolare, verrà eseguito il malware CryptoSink. In questo modo, anche se l'utente rimuove i file collegati all'attività malware di CryptoSink, non appena utilizza il comando 'rm', la minaccia verrà ridistribuita.

Rimozione dei concorrenti

Il minatore è progettato per estrarre la criptovaluta Monero. La minaccia CryptoSink è anche in grado di rilevare se sul computer infetto è presente un altro minatore di criptovaluta. Se vengono rilevati minatori concorrenti, la minaccia CryptoSink tenterà di interrompere le loro attività. Tuttavia, il malware CryptoSink non rimuove semplicemente altri minatori che potrebbero aver compromesso il sistema; assicura che se il sistema tenta di connettersi a un elenco preconfigurato di pool di mining, il traffico verrà reindirizzato immediatamente a "127.1.1.1". Ciò impedisce ai minatori concorrenti di connettersi al loro pool di mining predeterminato.

L'operazione CryptoSink è molto avanzata e la rimozione del minatore da un host compromesso può rivelarsi piuttosto impegnativa. Assicurati di avere una vera soluzione anti-malware installata che ti aiuterà a rimuovere la minaccia CryptoSink.