CoinStomp Malware
CoinStomp is een nieuwe malwarefamilie die lijkt te zijn ontworpen om cloudservices te infecteren en vervolgens hun bronnen te gebruiken om cryptovaluta te delven. Deze aanvallen zijn bekend geworden als cryptojacking. Details over deze specifieke malwarebedreiging werden openbaar gemaakt in een rapport van Cado Security.
Volgens hun bevindingen bestaat CoinStomp uit shell-scripts die proberen Cloud-computerinstanties van verschillende Cloud-serviceproviders te exploiterengrotendeels. Tot nu toe waren de meeste CoinStomp-doelen cloudproviders in Azië. De onderzoekers vonden een verwijzing naar de cryptojacking-bedreigingsactor die werd gevolgd als Xanthe in een ter ziele gegane payload-URL. Dit feit alleen is echter niet voldoende om de dreiging met veel vertrouwen aan de cybercriminelen toe te schrijven. Bovendien is het mogelijk achtergelaten door de echte boosdoeners als een poging om beveiligingsonderzoekers af te schrikken.
Dreigende mogelijkheden
CoinStomp is uitgerust met verschillende anti-detectie technieken. De meest prominente draait om 'time-stamping', een methode voor het manipuleren van tijdstempels via het Linux-aanraakcommando. Hierdoor kunnen de aanvallers de gevallen verbergen waarin de hulpprogramma's chmod en chattr zijn gebruikt.
Bovendien zal de dreiging ook proberen de beoogde Linux-server te verzwakken door het cryptografische beleid stop te zetten. Het doel van dit beleid is om het systeem te beschermen tegen malwarebedreigingen die erop worden geplaatst en uitgevoerd. Om de opdringerige acties van de CoinStomp-malware te vergemakkelijken, hebben de makers een routine toegevoegd die een kill-opdracht gebruikt om het systeembrede cryptografische beleid uit te schakelen.
CoinStomp opent een omgekeerde shell om communicatie tot stand te brengen met zijn Command-and-Control (C2, C&C) server. Als dit lukt, kunnen de aanvallers de dreiging gebruiken om extra bedreigende payloads te leveren, waaronder binaire bestanden voor krachtigere achterdeuren en een aangepaste versie van XMRig, een crypto-miningsoftware van Monero. De payloads van de volgende fase worden uitgevoerd als systeembrede systemd- services en krijgen rootrechten.
