ricercatori Sucuri appena riferito che qualcuno mise in contatto con loro per quanto riguarda “un processo dannoso che avevano scoperto in esecuzione sul proprio server web”. Il processo in questione era abbastanza pesante sulla CPU, indicando un processo cryptominer in esecuzione in background.
Durante la loro analisi, i ricercatori sono stati in grado di determinare che il cryptominer è stato scaricato tramite uno script Bash noto come cr2.sh, che è caduto sul server in un modo sconosciuto.
Cosa succede dopo che il file viene eseguito bash? Si trova a uccidere i processi da una lista di nomi di processo che è legato alla cryptomining, come xmrig e cryptonight, tra gli altri.
E poi controlla per vedere se il processo dannoso è già in esecuzione e invia una richiesta a un file PHP ospitato su un server separato. Questo file in uscita l'indirizzo IP che afferra il contenuto effettivo cryptominer gestito dal processo dannoso.
Di più sullo script bash cr2.sh
Lo script cr2.sh ha anche bisogno di determinare se l'ambiente operativo è 32- o 64-bit al fine di scaricare il carico utile cryptomining. Per fare questo si utilizza la arricciare o wget comando come / tmp / php, mentre file di configurazione del minatore viene scaricato dallo stesso server, i ricercatori hanno spiegato.
Lo script è ormai scaricato al server web tutti i contenuti necessari per andare avanti e deporre le uova il processo usando nohup, che permette al processo di continuare l'esecuzione, indipendentemente se l'utente termina la sessione di bash.
Nella sua prossima fase, il processo di minatore ora caricati nella memoria del host Linux cancellerà il carico utile così come il suo file di configurazione. Questo viene fatto per garantire e nascondere la propria presenza.
Il malware è anche in grado di raggiungere la persistenza con la creazione di un job di cron che è impostato per eseguire ogni minuto. In aggiunta, esso controllerà per lo script del cr2.sh Bash, e se lo script non è presente, sarà ri-scaricare ed eseguire ancora una volta:
Solo nel caso qualcuno rileva il processo e l'uccide insieme al file cr2.sh iniziale, il file crea un cronjob (a meno che non esista già). Questo cron è pianificata l'esecuzione ogni minuto, scaricare nuovamente il file cr2.sh se manca, ed eseguire lo script bash dannoso.
Si noti che non solo i server web sono presi di mira da questo tipo di attacco, ma anche installazioni desktop di sistemi Linux a 32 / 64bit, e altre varianti, schierato per infettare installazioni Windows.