Actores amenaza desconocida han estado funcionando una campaña de programas nocivos para máquinas Linux y la IO utilizando dos cepas de virus diseñados para instalar CNRig y CoinHive Monero cryptominers después de eliminar los mineros de la competencia.
La campaña de cyptojacking descubierta por el equipo de investigación de Anomali Labs se realizó entre agosto y octubre de 2018, con la campaña inicial de Linux Rabbit activa durante agosto y enfocada solo en cajas de Linux, mientras que la segunda llamada Rabbot operó de septiembre a octubre, agregando dispositivos IoT a sus lista de objetivos
Las campañas Linux Rabbit y Rabbot se diseñaron para detectar la arquitectura de la máquina en la que se infiltraron e instalaron un ejecutable cryptominer diseñado explícitamente para esa máquina específica.
Además, los actores malintencionados utilizaron el malware Linux Rabbit para buscar y comprometer objetivos de Rusia, Corea del Sur, el Reino Unido y los EE. UU., Posteriormente se pusieron en contacto con su servidor de comando y control (C2) a través de un TOR cifrado. canal de comunicación.
El siguiente paso fue lograr la persistencia en el cuadro de Linux utilizando los archivos rc.local y .bashrc y piratear el servidor SSH local con la ayuda de una lista codificada de credenciales para forzar la fuerza bruta en el servidor.
Durante el siguiente paso, "Linux Rabbit intenta instalar los mineros Monero" CNRig "y" CoinHive "en la máquina, pero solo uno se instalará con éxito dependiendo de qué tipo de arquitectura es la máquina", dice Anomali Labs.
Rabbot utilizó un gusano autopropagante para encontrar y comprometer nuevos objetivos IoT
Además, "Si la máquina es de x86 bits, instalará el minero CNRig Monero y si la máquina es un ARM / MISP, instalará CoinHive".
Además, si detecta un servidor web que se ejecuta en la caja de Linux comprometida, Linux Rabbit también inyectará etiquetas de script CoinHive en cada archivo HTML que encuentre en el servidor.
Además, como paso intermedio, el malware también iniciará un proceso de escaneo para otros crypto miners que se ejecutan en el servidor Linux infectado, eliminándolos antes de instalar su propio minero Monero.
La campaña Rabbot utilizó un malware de autopropagación que comparte el mismo código con la variedad Linux Rabbit, con una característica adicional: la capacidad de infectar dispositivos IoT sin parches sin requisitos de geolocalización específicos.
En pocas palabras, Anomali Labs descubrió que el comportamiento de Rabbot es idéntico al de Linux Rabbit, con la única diferencia significativa de que el primero eliminará y ejecutará ambas cargas útiles de cryptominer específicas de la arquitectura.
Fecha actualización el 2021-12-09. Fecha publicación el 2018-12-09. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: softpedia