Autom Malware

Autom é o nome de uma campanha de mineração de moeda digital em andamento, detectada pela primeira vez em 2019. Desde então, um total de 84 ataques contra servidores de pesquisadores honeypot foram relatados, quatro deles ocorrendo em 2021. Esses ataques de mineração de moeda digital não devem desacelerar no próximo ano. Na verdade, é o oposto. Os especialistas relatam que os invasores por trás da campanha Autom estão evoluindo seus métodos, tornando as ameaças de malware mais capazes de escapar dos mecanismos de defesa e voar sob o radar das ferramentas anti-vírus.

Os ataques iniciais dessa campanha envolveram a execução de um comando ameaçador, uma vez que um usuário executa uma imagem vanilla com o nome "alpine: mais recente". Essa ação resultou em um script de shell denominado "autom.sh". sendo baixado no dispositivo. Essa tática continua tendo sucesso, já que a maioria das organizações confia nas imagens oficiais e permite o seu uso. Enquanto o comando ameaçador adicionado à imagem vanilla corrompida quase não foi alterado ao longo do tempo, os pesquisadores de malware identificaram uma diferença no servidor do qual o script de shell está sendo baixado.

Segundo relatos, a sequência de ataque ainda consiste no script autom.sh, que permite a criação de uma nova conta de usuário chamada “akay”. Em seguida, os privilégios da conta são atualizados para um usuário root, permitindo que os invasores executem comandos arbitrários na máquina infectada e, eventualmente, explorem os recursos disponíveis para minerar a cripto-moeda.

Um novo recurso adicionado recentemente diz respeito à capacidade de permanecer invisível para detecção - oscripts ameaçadores agora podem desativar os mecanismos de segurança, recuperando um script shell de mineração ofuscado. Este script em particular evita ferramentas de segurança, pois é codificado em Base64 cinco vezes.

Junto com as vulnerabilidades já conhecidas que os cibercriminosos costumam explorar para conduzir ataques de mineração de moeda digital nas últimas semanas, falhas de segurança na biblioteca de registro Log4j foram abusadas para executar um esquema chamado crypto-jacking, que também envolve o sequestro de máquinas com o objetivo de minerar moedas digitais. Além disso, algumas vulnerabilidades recém-descobertas no Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers e VMware vCenter foram mal utilizadas. Ao mesmo tempo, o fabricante dos dispositivos de armazenamento conectado à rede (NAS), QNAP, também anunciou recentemente a descoberta de um malware de mineração de moeda digital que poderia ocupar cerca de 50% do uso total da CPU.