les chercheurs ont rapporté que Sucuri juste quelqu'un est entré en contact avec eux en ce qui concerne « un processus malveillant qu'ils avaient découvert en cours d'exécution sur leur serveur web ». Le processus en question était assez lourd sur la CPU, montrant un processus de cryptominer en arrière-plan.
Pendant leur analyse, les chercheurs ont pu déterminer que le cryptominer a été téléchargé via un script Bash connu sous le nom cr2.sh, qui est tombé sur le serveur d'une manière inconnue.
Qu'est-ce qui se passe après le fichier bash est exécuté? Il est mis à tuer des processus à partir d'une liste des noms de processus qui est lié à la cryptomining, comme xmrig et cryptonight, parmi d'autres.
Il vérifie ensuite si le processus malveillant est déjà en cours d'exécution et envoie une requête à un fichier PHP hébergé sur un serveur distinct. Ce fichier génère l'adresse IP qui saisit le contenu de cryptominer réelle géré par le processus malveillant.
En savoir plus sur le script bash cr2.sh
Le script cr2.sh doit également déterminer si l'environnement du système d'exploitation est 32- ou 64 bits afin de télécharger la charge utile cryptomining. Pour ce faire, il utilise le boucle ou wget commande / tmp / php, tandis que le fichier de configuration du mineur est téléchargé à partir du même serveur, les chercheurs ont expliqué.
Le script a téléchargé sur le serveur Web tout le contenu nécessaire pour aller de l'avant et se reproduire le processus en utilisant nohup, ce qui permet de continuer le processus en cours d'exécution, peu importe si l'utilisateur se termine sa session bash.
Dans sa phase suivante, le processus de mineur maintenant chargé dans la mémoire de l'hôte Linux supprimera la charge utile ainsi que son fichier de configuration. Ceci est fait pour sécuriser et dissimuler sa présence.
Le logiciel malveillant est également capable de parvenir à la persistance en créant une tâche cron qui est à exécuter chaque minute. En outre, il vérifiera le script Bash cr2.sh, et si le script est manquant, il sera re-télécharger et exécuter une nouvelle fois:
Juste au cas où quelqu'un détecte le processus et il tue en même temps que le fichier initial cr2.sh, le fichier crée un cronjob (à moins qu'il existe déjà). Cette Cron est prévue pour exécuter toutes les minutes, re-télécharger le fichier cr2.sh s'il manque, et exécuter le script bash malveillant.
Notez que non seulement les serveurs Web sont ciblés par cette attaque, mais aussi les installations de bureau 32 / 64bit systèmes Linux, et d'autres variantes, déployés pour infecter les installations Windows.