CoinStomp Malware

CoinStomp är en ny malware-familj som verkar vara utformad för att infektera molntjänster och sedan använda sina resurser för att bryta efter kryptovaluta. Dessa attacker har blivit kända som cryptojacking. Detaljer om detta hot mot skadlig programvara avslöjades för allmänheten i en rapport från Cado Security.

Enligt deras resultat består CoinStomp av skalskript som försöker utnyttja molndatorinstanser som tillhör olika molntjänsteleverantöreri stora drag. Hittills har de flesta CoinStomp-mål varit molnleverantörer i Asien. Forskarna hittade en referens till aktören för kryptojackning som spårades som Xanthe i en nedlagd nyttolast-URL. Detta faktum i sig är dock inte tillräckligt för att tillskriva hotet med hög tillförsikt till den cyberkriminella gruppen. Dessutom kan det ha lämnats av de verkliga skyldiga som ett försök att genom säkerhetsforskare av.

Hotande förmågor

CoinStomp är utrustad med flera antidetekteringstekniker. Den mest framträdande kretsar kring "time-stamping", en metod för att manipulera tidsstämplar via Linux-kommandot. Genom att göra det kan angriparna dölja tillfällen där verktygen chmod och chattr användes.

Dessutom kommer hotet också att försöka försvaga den riktade Linux-servern genom att stoppa dess kryptografiska policyer. Syftet med dessa policyer är att skydda systemet från skadliga hot som släpps och exekveras på det. För att underlätta de påträngande åtgärderna hos CoinStomp malware, har dess skapare lagt till en rutin som använder ett kill-kommando för att inaktivera den systemomfattande kryptografiska policyn.

CoinStomp öppnar ett omvänt skal för att upprätta kommunikation med sin Command-and-Control-server (C2, C&C). Om de lyckas kan angriparna sedan använda hotet för att leverera ytterligare hotfulla nyttolaster, inklusive binärer för mer kraftfulla bakdörrar och en anpassad version av XMRig, en Monero-krypteringsmjukvara. Nästa scennyttolaster kommer att köras som systemomfattande SYSTEMD tjänster och kommer att ges root.