Medarbejdere i malware-analysefirmaet Intezer har ifølge en Blogindlægs har opdaget en ny orm, der angriber Linux- og Windows-servere for at bruge deres computerkraft til at udvinde kryptovalutaen Monero. Som regel beregnes Monero, i modsætning til mange andre kryptovalutaer, ikke med specielle Asics, men med konventionelle GPU'er og CPU'er. De kaprede x86-servere opnår derfor et højt udbytte.
Ifølge Intezer distribueres og styres ormen centralt via en kommando- og kontrolserver. Almindelig Opdateringer på serveren tyder på, at minenetværket administreres af en aktiv hackergruppe.
MySQL, Tomcat og Jenkins som angrebsvektorer
Ormen spredes via offentligt synlige grænseflader til tjenester som f.eks. MySQLTomcat og Jenkins (porte som 8080, 7001 og 3306). Ved hjælp af et brute force-angreb forsøger ormen at gætte svage adgangskoder til disse tjenester. I første omgang anvendes en ordbogstilgang, hvor hyppigt anvendte adgangskoder testes med prioritet.
Så snart malware har fundet frem til en adgangskode, distribueres et dropper-script via Bash eller Powershell, som installerer en MXRig-miner. Desuden forsøger ormen derefter at uafhængig i den inficerede servers netværk for at kunne udnytte yderligere ressourcer til kryptomining. I øjeblikket bliver malware ikke opdaget af antivirusprogrammer og er derfor meget farlig, ifølge Intezer.
Derfor kan kun stærke adgangskoder og om muligt to-faktor-autentifikation yde beskyttelse. Sikkerhedsfirmaet anbefaler også, at man slukker for tjenester, der ikke bruges, og begrænser adgangen til nødvendige tjenester udefra. Desuden kan software, der holdes opdateret, ifølge Intezer ofte forhindre infektion med malware.