pesquisadores Sucuri apenas relatou que alguém entrou em contato com eles sobre “um processo malicioso que tinham descoberto em execução no seu servidor web”. O processo em questão era bastante pesado na CPU, apontando para um processo cryptominer execução em segundo plano.
Durante sua análise, os pesquisadores foram capazes de determinar que o cryptominer foi baixado através de um script Bash conhecido como cr2.sh, que é descartado no servidor de uma forma desconhecida.
O que acontece depois que o arquivo festa é executado? Ela é definida como processos de matar de uma lista de nomes de processo que está relacionado com o cryptomining, tal como xmrig e cryptonight, entre outros.
Em seguida, ele verifica para ver se o processo malicioso já está em execução e envia uma solicitação para um arquivo PHP hospedado em um servidor separado. Este arquivo gera o endereço de IP que agarra o real conteúdo executado cryptominer pelo processo malicioso.
Mais sobre o roteiro cr2.sh festa
O script cr2.sh também precisa determinar se o ambiente do sistema operacional é 32- ou 64-bit, a fim de baixar a carga cryptomining. Para isso, utiliza o ondulação ou wget comando como / tmp / php, enquanto arquivo de configuração do mineiro é descarregado a partir do mesmo servidor, os pesquisadores explicaram.
O script já baixados para o servidor web de todo o conteúdo necessário para ir adiante e gerar o processo usando nohup, que permite que o processo continue funcionando independentemente se o usuário termina a sessão do bash.
Em sua próxima fase, o processo mineiro agora carregado na memória do host Linux vai apagar a carga, bem como seu arquivo de configuração. Isto é feito para proteger e ocultar a sua presença.
O malware também é capaz de alcançar a persistência através da criação de um trabalho cron que é definido para ser executado a cada minuto. além do que, além do mais, ele irá verificar para o script do cr2.sh Bash, e se o script está faltando, ele vai re-download e executá-lo mais uma vez:
Apenas no caso de alguém detecta o processo e mata-lo junto com o arquivo cr2.sh inicial, o arquivo cria um cronjob (a menos que já existe). Este cron está programado para ser executado a cada minuto, re-baixar o arquivo cr2.sh se ele estiver ausente, e executar o script bash malicioso.
Note-se que não só os servidores web são direcionados por este ataque, mas também instalações de desktop de 32/64 bits sistemas Linux, e outras variantes, implantado para infectar as instalações do Windows.