Comment un malware auto-propagation avec des capacités de cryptomining et ransomware son pour vous? entièrement hypothétique? Pas du tout. Cette nouvelle souche malware existe et est une menace réelle non seulement aux serveurs Windows mais aussi Linux. Il est surnommé Xbash.
Plus précisement, la nouvelle souche logiciels malveillants combine les caractéristiques des quatre catégories de programmes malveillants - ransomware, botnet, ver, et les mineurs crypto. Selon les chercheurs de l'Unité de Palo Alto Networks 42, ransomware de Xbash et les capacités botnet sont destinées à des systèmes Linux où le nouveau malware est monstrueux rayeront bases de données. Comme pour Windows, Xbash est utilisé à des fins de cryptomining et d'auto-propagation, tirant parti des failles de sécurité connues dans Hadoop, Redis, et services ActiveMQ.
Qui se cache derrière le nouveau Xbash Malware?
Apparemment, cette dernière souche malware est écrit par un collectif criminel bien connu connu sous le nom de fer et Rocke. Le groupe a été très actif au cours des deux dernières années.
Ces cybercriminels ont été connus pour la réalisation ransomware massive et cryptomining campagnes. Cisco chercheurs Talos même nommé le piratage collective «le champion des mineurs Monero". Il y a des indices qui suggèrent que le groupe est basé en Chine, mais cela n'a pas été confirmée. Le groupe a été détectée en fournissant ransomware 2017 et 2018, et plus tard - les mineurs de crypto-monnaie.
Maintenant, le groupe Le fer a une nouvelle souche logiciels malveillants dans leurs mains qui combine tous les scénarios malveillants précédemment déployés. Le résultat est un morceau de logiciel malveillant monstre avec une structure en forme de réseau de robots et les capacités de ransomware et cryptomining. En plus de cela, le groupe travaille actuellement sur une fonctionnalité semblable à vis sans fin pour l'auto-propagation, les chercheurs disent.
Présentation technique des logiciels malveillants XBash
Selon l'analyse technique de Palo Alto, le logiciel malveillant est développé en Python et a été converti plus tard en executables Linux ELF autonomes en tirant parti de l'outil légitime appelé PyInstaller à des fins de livraison.
XBash vise également les adresses IP et les noms de domaine. "logiciels malveillants modernes tels que Linux ou Mirai Gafgyt génèrent habituellement des adresses IP aléatoires comme destinations de numérisation. Par contre, Xbash va chercher de ses serveurs C2 pour les deux adresses IP et les noms de domaine pour le service de sondage et d'exploitation," les chercheurs c'est noté.
Comme déjà mentionné, la nouvelle souche malware ciblant à la fois Windows et Linux. Lors du ciblage Redis, Xbash d'abord vérifier si le service est en cours d'exécution sur Windows. Si cela est confirmé, il enverra alors la charge utile malveillante JavaScript ou VBScript dans le but de télécharger et exécuter un cryptominer pour Windows.
Une autre caractéristique à noter technique La capacité de numérisation intranet Xbash où les serveurs vulnérables avec l'intranet de l'entreprise sont ciblés. Il convient de noter que cette fonction n'a pas été activée encore et vu que dans les échantillons.
les chercheurs de Palo Alto ont découvert jusqu'à présent quatre versions différentes du malware Xbash.
les différences de code et l'horodatage entre ces versions laissent entendre que le programme malveillant monstrueux est encore en cours de développement actif. Les opérations de botnet a commencé autour de mai de cette année. Les chercheurs ont surveillé 48 les transactions entrantes aux adresses portefeuille Bitcoin utilisées par les auteurs Xbash. Cela peut signifier qu'il y 48 victimes du comportement ransomware particulier.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: