CoinStomp Malware
O CoinStomp é uma nova família de malware que parece ter sido projetada para infectar serviços na Nuvem e usar seus recursos para minerar cripto-moedas. Esses ataques ficaram conhecidos como crypto-jacking. Detalhes sobre essa ameaça de malware específica foram revelados ao público em um relatório da Cado Security.
De acordo com suas descobertas, o CoinStomp consiste em scripts de shell que tentam explorar instâncias de computadores na Nuvem pertencentes a vários provedores de serviços na Nuvem. Até agora, a maioria dos alvos do CoinStomp foram provedores da Nuvem localizados na Ásia. Os pesquisadores encontraram uma referência ao agente de ameaça de crypto-jacking rastreado como Xanthe em um URL de carga útil extinto. No entanto, esse fato por si só não é suficiente para apoiar a atribuição da ameaça com alta confiança ao grupo de criminosos cibernéticos. Além disso, pode ter sido deixado pelos verdadeiros culpados como uma tentativa de enganar os pesquisadores de segurança.
Capacidades Ameaçadoras
O CoinStomp está equipado com várias técnicas anti-detecção. A mais proeminente gira em torno do 'time-stomping', um método para manipular registros de data e hora por meio do comando de toque do Linux. Isso permite que os invasores ocultem instâncias em que os utilitários chmod e chattr foram usados.
Além disso, a ameaça também tentará enfraquecer o servidor Linux visado, interrompendo suas políticas criptográficas. O objetivo dessas políticas é proteger o sistema contra ameaças de malware que são descartadas e executadas nele. Para facilitar as ações intrusivas do malware CoinStomp, seus criadores adicionaram uma rotina que usa um comando kill para desabilitar as políticas criptográficas de todo o sistema.
O CoinStomp abre um shell reverso para estabelecer comunicação com seu servidor de Comando e Controle (C2, C&C). Se bem-sucedidos, os invasores podem usar a ameaça para fornecer cargas adicionais ameaçadoras, incluindo binários para backdoors mais poderosos e uma versão personalizada do XMRig, um software de mineração da moeda digital Monero. As cargas úteis do próximo estágio serão executadas como serviços systemd em todo o sistema e receberão privilégios de root.
