Una botnet de divisas Miner basado en Linux, lo que se ha denominado PyCryptoMiner ha sido descubierto por los investigadores de seguridad. La red de bots que se basa en un minero criptomoneda ha ganado al menos cibercriminales 158 Monero que asciende a $63,000.
PyCryptoMiner se ha escrito en Python que ha hecho posible que los operadores de la red de bots para mantenerlo por debajo del radar.
"A diferencia de una alternativa de software malicioso binaria, un malware basado en el lenguaje de secuencias de comandos es más evasiva, por naturaleza, ya que puede ser fácilmente ofuscado. También es ejecutado por un binario legítima, lo que podría ser uno de los intérpretes / PowerShell Perl / Python / Bash / Go enviados con casi todas las distribuciones de Linux / Windows,”Investigadores de F5 Networks dijo en su informe.
PyCryptoMiner Detalles técnicos
El que está operando esta botnet también está utilizando ataques de fuerza bruta atacan a los sistemas Linux con puertos SSH expuestos. En caso de que la contraseña se descubrió entonces cibercriminales desplegar scripts de Python e instalar el malware minero Monero.
Los investigadores también creen que los cibercriminales también están usando un exploit para el servidor JBoss en su campaña que ha sido identificado como CVE-2017-12.149. Sin embargo, el despliegue de la fuerza bruta y la hazaña de SSH también son parte del arsenal de ataque de delincuentes.
Lo que es interesante es que el PyCryptoMiner botnet no tiene direcciones codificadas de forma rígida de sus servidores de comando y control, ya que los recibe mensajes de Pastebin. La botnet también es capaz de actuar como un nodo de significado escáner que escanea la Internet para máquinas Linux con puertos SSH abierto, y los intentos de adivinar los inicios de sesión SSH. En caso de un éxito, el malware utiliza una secuencia de comandos de Python punta de lanza codificado en base 64 simple que se conecta al servidor de comando y control para ejecutar código Python más, investigadores dijeron. La secuencia de comandos en sí es posicionado en la principal bot controlador y es capaz de las siguientes actividades:
- Convertirse en persistente en el ordenador afectado registrándose como una tarea programada ( un planificador de tareas basado en el tiempo en los sistemas operativos de los ordenadores basados en Unix);
- La recogida de datos sobre el ordenador afectado, como información sobre el número de CPUs.
- La información recogida se envía normalmente al servidor de comando y control.
PyCryptoMiner Botnet Actividad
Al parecer,, la botnet está inactivo, ya que sus servidores están fuera de línea. No obstante, esto no quiere decir que no se reactivará en nuevas campañas de minería maliciosos y cripto. Si el operador de la botnet actualiza los mensajes Pastebin a punto de un nuevo servidor de comando y control, a continuación, la botnet puede ser rápidamente se vuelve a conectar.
Como ya se ha mencionado, la botnet también está diseñado para cavar en busca de explotar el potencial de posibilidades CVE-2017-12.149, una vulnerabilidad divulgada recientemente. Esto significa que los servidores JBoss vulnerables pueden ser el próximo objetivo de la PyCryptoMiner.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme:
Este no es un malware. Si obtiene acceso a la máquina, se puede hacer un montón de cosas que no sea sólo ejecutar un script de minería.
¡Hola, sí, pero todo se reduce a quién configurado. Algunos autores de malware a menudo tienen como objetivo integrar los mineros legítimos en aplicaciones de malware y añadir otra “cosas” hace que el malware. Estas son funciones, que le ayudan a propagar, así como la auto-actualización, copiarse a sí mismo y permanecer ofuscado.
Como se dice en el artículo de la minera es parte de un extenso Pitón que es de naturaleza modular. Como consecuencia, los operadores de hackers pueden ejecutar una variedad de comportamiento del malware.
Debido al reciente aumento de los mineros es importante para nosotros hacer un seguimiento de todos los eventos actuales.