Xanthe Malware

La crescita degli ambienti e dei servizi cloud ha cambiato enormemente il panorama tecnologico in una miriade di modi. Uno degli aspetti da non trascurare è la sicurezza. Sebbene per un periodo considerevole i sistemi desktop Windows siano stati gli obiettivi principali dei criminali informatici, e lo sono tuttora, si è verificato anche un cambiamento significativo. In effetti, sempre più host messi su Internet eseguono Linux e sono una preda molto più facile a causa degli sforzi aggiuntivi che richiedono quando si creano le loro misure di sicurezza rispetto ai sistemi Windows interni. Finora, nel 2020, i ricercatori di infosec hanno osservato più campagne mirate proprio a tali sistemi, tra cui uno dei più recenti è Xanthe Malware.

Xanthe Malware è una botnet multi-modulare e una minaccia malware che sfrutta le installazioni API Docker configurate in modo errato per infettare i sistemi Linux. Una volta all'interno, Xanthe distribuisce una variante del popolare malware di cryptomining XMRig Monero e raccoglie credenziali e certificati lato client, che utilizza per propagarsi.

Il file iniziale che viene rilasciato sul sistema di destinazione è uno script downloader denominato pop.sh che ha il compito di scaricare il modulo principale in esecuzione della botnet - xanthe.sh. Una volta distribuito, Xanthe rilascia quattro moduli malware aggiuntivi, ciascuno responsabile di una diversa funzionalità dannosa:

• libprocesshider.so - un modulo per nascondere i processi
• xesa.txt: uno script di shell che disabilita altre minacce malware di cryptomining, oltre al software di sicurezza
• fczyo - uno script di shell incaricato di rimuovere i cryptominer concorrenti di Docker
• config.json - il binario della variante crypto-miner XMRig Monero

Il modulo principale cerca di diffondersi ad altri sistemi, sia collegati a reti locali che esterne. A tal fine, Xanthe ottiene l'indirizzo IP dell'host compromesso collegandosi a icanhazip.com. Quindi la minaccia malware raccoglie i certificati lato client sfruttando l'utilità "trova". Quando tutte le chiavi sono state ottenute, Xanthe cerca le porte TCP conosciute, gli host e le password per quegli host. Nel tentativo di connettersi a host remoti, viene utilizzato un processo a ciclo che esegue l'iterazione su tutte le possibili combinazioni delle informazioni ottenute. In caso di successo, Xanthe scarica ed esegue il suo modulo principale sul sistema remoto tramite le righe di comando.