Malware automatico

Autom è il nome di una campagna di cripto-mining in corso, rilevata per la prima volta nel 2019. Da allora, sono stati segnalati un totale di 84 attacchi contro i server honeypot dei ricercatori, quattro dei quali si sono verificati nel 2021. Questi attacchi di cripto-mining non sono previsti rallentare nel prossimo anno. In realtà, è piuttosto il contrario. Gli esperti riferiscono che gli aggressori dietro la campagna Autom stanno evolvendo i loro metodi, rendendo le minacce malware più capaci di eludere i meccanismi di difesa e di volare sotto il radar degli strumenti di scansione antivirus.

Gli attacchi iniziali di questa campagna prevedevano l'esecuzione di un comando minaccioso, una volta che un utente esegue un'immagine vanilla con il nome "alpine:latest". Quell'azione ha provocato uno script di shell chiamato "autom.sh". essere scaricato sul dispositivo. Questa tattica continua ad avere successo, poiché la maggior parte delle organizzazioni si fida delle immagini vanilla ufficiali e ne consente l'uso. Mentre ilIl minaccioso comando aggiunto all'immagine vanilla corrotta è stato modificato a malapena nel tempo, i ricercatori di malware hanno identificato una differenza nel server da cui viene scaricato lo script della shell.

Secondo i rapporti, la sequenza di attacco consiste ancora nello script autom.sh, che consente la creazione di un nuovo account utente denominato "akay". Quindi, i privilegi dell'account vengono aggiornati a un utente root, consentendo agli aggressori di eseguire comandi arbitrari sulla macchina infetta e, infine, sfruttare le risorse disponibili per estrarre criptovaluta.

Una nuova funzionalità aggiunta di recente riguarda la capacità di rimanere invisibili al rilevamento: ilgli script minacciosi possono ora disabilitare i meccanismi di sicurezza recuperando uno script di shell di mining offuscato. Questo particolare script evita gli strumenti di sicurezza, poiché è codificato in Base64 cinque volte.

Insieme alle vulnerabilità già note che i criminali informatici di solito sfruttano per condurre attacchi di mining di criptovalute, nelle ultime settimane, le falle di sicurezza nella libreria di log di Log4j sono state abusate per eseguire uno schema chiamato crypto-jacking, che coinvolge anche il dirottamento di macchine con lo scopo di minare criptovalute. Inoltre, alcune vulnerabilità scoperte di recente in Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Server e VMware vCenter sono state utilizzate in modo improprio. Allo stesso tempo, anche il produttore di dispositivi NAS (Network-Attached Storage) QNAP ha annunciatorecentemente la scoperta di un malware per il mining di criptovalute che potrebbe occupare circa il 50% dell'utilizzo totale della CPU.