Malware CoinStomp
CoinStomp është një familje e re malware që duket se është krijuar për të infektuar shërbimet e Cloud dhe më pas për të përdorur burimet e tyre për të minuar kriptomonedha. Këto sulme janë bërë të njohura si cryptojacking. Detaje rreth këtij kërcënimi të veçantë malware u zbuluan për publikun në një raport nga Cado Security.
Sipas gjetjeve të tyre, CoinStomp përbëhet nga skriptet e guaskës që përpiqen të shfrytëzojnë instancat e kompjuterit Cloud që u përkasin ofruesve të ndryshëm të shërbimeve Cloudnë masë të madhe. Deri më tani, shumica e objektivave të CoinStomp kanë qenë ofruesit e Cloud të vendosur në Azi. Studiuesit gjetën një referencë për aktorin e kërcënimit të kriptojakut të gjurmuar si Xanthe në një URL të pafuqishme të ngarkesës. Megjithatë, vetëm ky fakt nuk mjafton për të mbështetur atribuimin e kërcënimit me besim të lartë ndaj grupit kriminal kibernetik. Për më tepër, ajo mund të jetë lënë nga fajtorët e vërtetë si një përpjekje për të larguar përmes studiuesve të sigurisë.
Aftësitë kërcënuese
CoinStomp është i pajisur me disa teknika kundër zbulimit. Më e spikatura sillet rreth 'shkeljes së kohës', një metodë për manipulimin e stampave kohore nëpërmjet komandës Linux touch. Duke vepruar kështu, sulmuesit të fshehin rastet ku janë përdorur shërbimet chmod dhe chattr.
Përveç kësaj, kërcënimi gjithashtu do të përpiqet të dobësojë serverin e synuar Linux duke ndaluar politikat e tij kriptografike. Qëllimi i këtyre politikave është të mbrojë sistemin nga kërcënimet e malware që hidhen dhe ekzekutohen në të. Për të lehtësuar veprimet ndërhyrëse të malware CoinStomp, krijuesit e tij kanë shtuar një rutinë që përdor një komandë kill për të çaktivizuar politikat kriptografike në të gjithë sistemin.
CoinStomp hap një guaskë të kundërt për të vendosur komunikim me serverin e tij Command-and-Control (C2, C&C). Nëse janë të suksesshëm, sulmuesit më pas mund të përdorin kërcënimin për të ofruar ngarkesa shtesë kërcënuese, duke përfshirë binare për dyer të pasme më të fuqishme dhe një version të personalizuar të XMRig, një softuer i kripto-minierave Monero. Ngarkesat e fazës tjetër do të ekzekutohen si shërbime sistematike në të gjithë sistemin dhe do t'u jepen privilegje rrënjësore.
