Como um malware de propagação automática com recursos de criptografia e ransomware soa para você? Totalmente hipotético? De modo nenhum. Essa nova variedade de malware existe e é uma ameaça real, não apenas para servidores Windows, mas também para Linux. É apelidado de Xbash.
Mais especificamente, a nova cepa de malware combina características de quatro categorias de malware - ransomware, botnet, Minhoca, e mineiros cripto. De acordo com pesquisadores da Unidade de Palo Alto Networks’ 42, Os recursos de ransomware e botnet do Xbash são voltados para sistemas Linux onde o novo malware monstruoso é instruído a excluir bancos de dados. Como para Windows, Xbash é usado para fins de auto-propagação e cryptomining, aproveitando vulnerabilidades de segurança conhecidas em Hadoop, Redis, e serviços activemq.
Quem está por trás do novo malware Xbash?
Pelo visto, esta última cepa de malware é de autoria de um conhecido coletivo criminoso conhecido como Iron and Rocke. O grupo tem estado bastante ativo nos últimos dois anos.
Esses cibercriminosos são conhecidos por realizar grandes campanhas de ransomware e criptomineração. Os pesquisadores do Cisco Talos até mesmo nomearam o coletivo de hackers “o campeão dos mineiros Monero”. Há pistas que sugerem que o grupo tem sede na China, mas isso não foi confirmado. O grupo foi detectado entregando ransomware em 2017 e 2018, e mais tarde - mineiros de criptomoeda.
Agora, o grupo Iron tem uma nova cepa de malware em suas mãos que combina todos os cenários maliciosos previamente implantados. O resultado é uma peça monstruosa de malware com estrutura semelhante a botnet e recursos de ransomware e criptomineração. Em cima disso, o grupo está atualmente trabalhando em um recurso semelhante a um worm para autopropagação, pesquisadores dizem.
Visão geral técnica do malware XBash
De acordo com a análise técnica de Palo Alto, o malware é desenvolvido em Python e mais tarde convertido em executáveis ELF do Linux independentes, utilizando a ferramenta legítima chamada PyInstaller para fins de entrega.
XBash também tem como alvo endereços IP e nomes de domínio. “Malwares modernos para Linux, como Mirai ou Gafgyt, geralmente geram endereços IP aleatórios como destinos de digitalização. Por contraste, O Xbash busca em seus servidores C2 endereços IP e nomes de domínio para sondagem e exploração de serviços," Os pesquisadores notado.
Como já mencionado, a nova cepa de malware tem como alvo Windows e Linux. Ao direcionar o Redis, O Xbash primeiro confirmará se o serviço está sendo executado no Windows. Se isso for confirmado, ele então enviará carga útil de JavaScript ou VBScript maliciosa com a finalidade de baixar e executar um criptominer para Windows.
Outro recurso técnico digno de nota é Capacidade de digitalização de intranet do Xbash onde servidores vulneráveis com intranet corporativa são direcionados. Deve-se observar que este recurso ainda não foi habilitado e só é visto em amostras.
Pesquisadores de Palo Alto descobriram quatro versões diferentes do malware Xbash até agora.
As diferenças de código e carimbo de data / hora entre essas versões sugerem que o malware monstruoso ainda está em desenvolvimento ativo. As operações de botnet começaram por volta de maio deste ano. Os pesquisadores monitoraram 48 transações de entrada para os endereços de carteira Bitcoin usados pelos autores Xbash. Isso pode significar que há 48 vítimas do comportamento de ransomware, em particular.