Les employés de la société d'analyse de logiciels malveillants Intezer ont, selon un Blog postont découvert un nouveau ver qui attaque les serveurs Linux et Windows afin d'utiliser leur puissance de calcul pour exploiter la cryptocourant Monero. En règle générale, le Monero, contrairement à de nombreuses autres cryptocurrences, n'est pas calculé avec des Asics spéciaux, mais avec des GPU et CPU conventionnels. Les serveurs x86 détournés obtiennent donc un rendement élevé.
Selon Intezer, le ver est distribué et contrôlé de manière centralisée par un serveur de commande et de contrôle. Régulier Mises à jour sur le serveur suggèrent que le réseau minier est administré par un groupe de piratage actif.
MySQL, Tomcat et Jenkins comme vecteurs d'attaque
Le ver se propage via des interfaces de services visibles par le public, telles que MySQLTomcat et Jenkins (ports tels que 8080, 7001 et 3306). Le ver tente de deviner des mots de passe faibles pour ces services via une attaque par force brute. Dans un premier temps, une approche par dictionnaire est utilisée, dans laquelle les mots de passe fréquemment utilisés sont testés de manière prioritaire.
Une fois que le malware a découvert un mot de passe, il distribue un script de compte-gouttes via bash ou powershell qui installe un mineur MXRig. En outre, le ver tente ensuite de indépendant sur le réseau du serveur infecté afin d'exploiter d'autres ressources pour le cryptomining. Actuellement, le malware n'est pas détecté par les logiciels antivirus et est donc très dangereux, selon Intezer.
Par conséquent, seuls des mots de passe forts et, si possible, une authentification à deux facteurs peuvent assurer la protection. La société de sécurité recommande également de désactiver les services qui ne sont pas utilisés et de restreindre l'accessibilité des services requis de l'extérieur. En outre, selon Intezer, un logiciel maintenu à jour peut souvent empêcher l'infection par des logiciels malveillants.
