Xanthe Malware

Por GoldSparrow em Malware

Traduzir Para:

O crescimento dos ambientes e serviços na Nuvem mudou tremendamente o panorama da tecnologia de uma infinidade de maneiras. Um dos aspectos que não deve ser esquecido é a segurança. Embora por um período considerável os sistemas de desktop Windows tenham sido os alvos principais dos cibercriminosos, e ainda são, uma mudança significativa também ocorreu. Na verdade, cada vez mais hosts colocados na Internet estão executando Linux e são uma presa muito mais fácil devido aos esforços adicionais que exigem ao criar suas medidas de segurança em comparação com os sistemas Windows internos. Até agora, em 2020, os pesquisadores da infosec observaram várias campanhas direcionadas exatamente a esses sistemas, sendo uma das mais recentes o Xanthe Malware.

O Xanthe Malware é um botnet multi-modular e uma ameaça de malware que explora instalações da API Docker configuradas incorretamente para infectar sistemas Linux. Uma vez lá dentro, o Xanthe implanta uma variante do popular malware de criptominação XMRig Monero e coleta credenciais e certificados do lado do cliente, que usa para se propagar.

O arquivo inicial colocado no sistema de destino é um script de download chamado pop.sh que tem a tarefa de baixar o módulo principal do botnet - xanthe.sh. Uma vez implantado, o Xanthe descarta quatro módulos de malware adicionais, cada um responsável por uma funcionalidade prejudicial diferente:

libprocesshider.so - um módulo de ocultação de processo
xesa.txt - um script de shell que desativa outras ameaças de malware de criptominação, bem como software de segurança
fczyo - um script de shell com a tarefa de remover criptominers concorrentes direcionados ao Docker
config.json - o binário da variante cripto-miner XMRig Monero

O módulo principal tenta se espalhar para outros sistemas, tanto conectados a redes locais quanto externas. Para isso, o Xanthe obtém o endereço IP do host comprometido conectando-se a icanhazip.com. Em seguida, a ameaça de malware coleta certificados do lado do cliente, aproveitando o utilitário 'find'. Quando todas as chaves foram obtidas, o Xanthe procura portas TCP conhecidas, hosts e as senhas desses hosts. Um processo de loop iterando em todas as combinações possíveis das informações obtidas é usado em uma tentativa de conexão com hosts remotos. Se for bem-sucedido, o Xanthe baixa e executa seu módulo principal no sistema remoto por meio de linhas de comando.

Buscar

Mudar de região

Xanthe Malware

Enviar o Comentário

Tendendo

'YouPorn' Email Scam

Safe Search Eng

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela