Xanthe Malware

Descrição do Xanthe Malware

O crescimento dos ambientes e serviços na Nuvem mudou tremendamente o panorama da tecnologia de uma infinidade de maneiras. Um dos aspectos que não deve ser esquecido é a segurança. Embora por um período considerável os sistemas de desktop Windows tenham sido os alvos principais dos cibercriminosos, e ainda são, uma mudança significativa também ocorreu. Na verdade, cada vez mais hosts colocados na Internet estão executando Linux e são uma presa muito mais fácil devido aos esforços adicionais que exigem ao criar suas medidas de segurança em comparação com os sistemas Windows internos. Até agora, em 2020, os pesquisadores da infosec observaram várias campanhas direcionadas exatamente a esses sistemas, sendo uma das mais recentes o Xanthe Malware.

O Xanthe Malware é um botnet multi-modular e uma ameaça de malware que explora instalações da API Docker configuradas incorretamente para infectar sistemas Linux. Uma vez lá dentro, o Xanthe implanta uma variante do popular malware de criptominação XMRig Monero e coleta credenciais e certificados do lado do cliente, que usa para se propagar.

O arquivo inicial colocado no sistema de destino é um script de download chamado pop.sh que tem a tarefa de baixar o módulo principal do botnet - xanthe.sh. Uma vez implantado, o Xanthe descarta quatro módulos de malware adicionais, cada um responsável por uma funcionalidade prejudicial diferente:

  • libprocesshider.so - um módulo de ocultação de processo
  • xesa.txt - um script de shell que desativa outras ameaças de malware de criptominação, bem como software de segurança
  • fczyo - um script de shell com a tarefa de remover criptominers concorrentes direcionados ao Docker
  • config.json - o binário da variante cripto-miner XMRig Monero

O módulo principal tenta se espalhar para outros sistemas, tanto conectados a redes locais quanto externas. Para isso, o Xanthe obtém o endereço IP do host comprometido conectando-se a icanhazip.com. Em seguida, a ameaça de malware coleta certificados do lado do cliente, aproveitando o utilitário 'find'. Quando todas as chaves foram obtidas, o Xanthe procura portas TCP conhecidas, hosts e as senhas desses hosts. Um processo de loop iterando em todas as combinações possíveis das informações obtidas é usado em uma tentativa de conexão com hosts remotos. Se for bem-sucedido, o Xanthe baixa e executa seu módulo principal no sistema remoto por meio de linhas de comando.

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"n"


HTML não é permitido.