Una botnet valuta Miner basato su Linux, che è stato definito PyCryptoMiner è stato scoperto da ricercatori di sicurezza. La botnet che si basa su un minatore criptovaluta ha guadagnato almeno criminali informatici 158 Monero che ammonta a $63,000.
PyCryptoMiner è stato scritto in Python, che ha reso possibile per gli operatori della botnet per tenerlo sotto il radar.
"A differenza di un binario alternativa di malware, un malware basato su linguaggio di scripting è più sfuggente per natura in quanto può essere facilmente offuscato. Esso viene eseguito anche da un binario legittima, che potrebbe essere uno degli interpreti / PowerShell Perl / Python / Bash / Go forniti con quasi tutte le distribuzioni Linux / Windows,”Ricercatori di F5 Networks ha detto in loro rapporto.
PyCryptoMiner Dettagli tecnici
Chi è operativo questa botnet è anche utilizzando attacchi brute-force rivolte sistemi Linux con le porte SSH a vista. Nel caso in cui la password è scoperto poi i criminali informatici distribuire script Python e installare il minatore di malware Monero.
I ricercatori ritengono inoltre che i criminali informatici stanno anche utilizzando un exploit per il server JBoss nella loro campagna, che è stato identificato come CVE-2.017-12.149. Tuttavia, il dispiegamento di forza bruta e l'exploit di SSH sono anche parte di attacco arsenale criminali.
Ciò che è interessante è che il PyCryptoMiner botnet non ha gli indirizzi hard-coded dei suoi server di comando e controllo come li riceve da messaggi Pastebin. La botnet è anche in grado di agire come un significato nodo scanner che scansiona l'Internet per macchine Linux con porte aperte SSH, e tenta di indovinare gli accessi SSH. In caso di un successo, il malware utilizza un semplice script Python spearhead codifica base64 che si connette al server di comando e controllo per eseguire più codice Python, hanno detto i ricercatori. Lo script stesso è posizionato nella bot controller principale ed è capace delle seguenti attività:
- Diventare persistente sul computer compromesso registrandosi come processo di cron ( un time-based job scheduler nei sistemi operativi per computer Unix-like);
- Raccolta dettagli sulla macchina compromessa come le informazioni sul numero di CPU.
- Le informazioni raccolte vengono tipicamente inviati al server di comando e controllo.
PyCryptoMiner Botnet Activity
Apparentemente, la botnet è attualmente inattiva, come i suoi server sono offline. Ciò nonostante, questo non significa che non sarà riattivato in nuove campagne di estrazione dannosi e crittografia. Se l'operatore botnet aggiorna i messaggi Pastebin per puntare a un nuovo server di comando e controllo, poi la botnet può rapidamente essere riportato in linea.
Come già accennato, la botnet è inoltre progettato per scavare per sfruttare il potenziale possibilità di CVE-2.017-12.149, una vulnerabilità divulgate recentemente. Ciò significa che i server JBoss vulnerabili potrebbero essere il prossimo obiettivo della PyCryptoMiner.
Questa non è certo una di malware. Se si ottiene l'accesso alla macchina, si può fare un sacco di cose diverso da solo in esecuzione di uno script mineraria.
Ciao, sì, ma tutto si riduce a chi configurato. Alcuni autori di malware spesso mirano a incorporare minatori legittimi in applicazioni malware e aggiungere altri “cose” che il malware fa. Si tratta di funzioni, che aiutano a propagare così come l'aggiornamento automatico, copiare se stesso e rimanere offuscato.
Come è indicato nell'articolo minatore fa parte di una vasta Pitone cioè modulare in natura. Di conseguenza, gli operatori degli hacker in grado di eseguire una varietà di comportamento del malware.
A causa del recente aumento dei minatori, è importante per noi per tenere traccia di tutti gli eventi in corso.