CoinStomp skadelig programvare
CoinStomp er en ny malware-familie som ser ut til å være designet for å infisere skytjenester og deretter bruke ressursene deres til å gruve etter kryptovaluta. Disse angrepene har blitt kjent som kryptojacking. Detaljer om denne spesielle trusselen mot skadelig programvare ble avslørt for offentligheten i en rapport fra Cado Security.
I følge funnene deres består CoinStomp av shell-skript som prøver å utnytte Cloud-datamaskinforekomster som tilhører ulike Cloud-tjenesteleverandøreri stor grad. Så langt har de fleste CoinStomp-målene vært skyleverandører lokalisert i Asia. Forskerne fant en referanse til aktøren for kryptojacking-trusselen sporet som Xanthe i en nedlagt nyttelast-URL. Dette faktum alene er imidlertid ikke nok til å støtte å tilskrive trusselen med høy tillit til den nettkriminelle gruppen. Videre kan det ha blitt etterlatt av de virkelige skyldige som et forsøk på å gjennom sikkerhetsforskere av.
Truende evner
CoinStomp er utstyrt med flere anti-deteksjonsteknikker. Den mest fremtredende dreier seg om 'time-stomping', en metode for å manipulere tidsstempler via Linux-berøringskommandoen. Ved å gjøre det kan angriperne skjule tilfeller der chmod- og chattr- verktøyene ble brukt.
I tillegg vil trusselen også prøve å svekke den målrettede Linux-serveren ved å stoppe dens kryptografiske retningslinjer. Hensikten med disse retningslinjene er å beskytte systemet mot trusler mot skadelig programvare som blir droppet og utført på det. For å lette de påtrengende handlingene til CoinStomp malware, har skaperne lagt til en rutine som bruker en kill-kommando for å deaktivere systemomfattende kryptografiske retningslinjer.
CoinStomp åpner et omvendt skall for å etablere kommunikasjon med Command-and-Control-serveren (C2, C&C). Hvis det lykkes, kan angriperne deretter bruke trusselen til å levere flere truende nyttelaster, inkludert binærfiler for kraftigere bakdører og en tilpasset versjon av XMRig , en Monero-kryptogruveprogramvare. De neste stadium nyttelast vil bli drevet som hele systemet systemd tjenester og vil bli gitt root privilegier.
