Az Intezer rosszindulatú szoftvereket elemző cég alkalmazottai egy Blogbejegyzéss felfedezett egy új féreg, amely Linux és Windows szervereket támad, hogy azok számítási teljesítményét a Monero kriptopénz bányászatára használja. A Monero-t, ellentétben sok más kriptovalutával, általában nem speciális Asics, hanem hagyományos GPU-k és CPU-k segítségével számolják ki. Az eltérített x86-os szerverek ezért magas hozamot érnek el.
Az Intezer szerint a féreg terjesztése és irányítása központilag, egy parancs- és vezérlő szerveren keresztül történik. Rendszeres Frissítések a szerveren arra utalnak, hogy a bányászhálózatot egy aktív hackercsoport kezeli.
MySQL, Tomcat és Jenkins mint támadási vektorok
A féreg olyan szolgáltatások nyilvánosan látható interfészein keresztül terjed, mint például a MySQLTomcat és Jenkins (például a 8080, 7001 és 3306 portok). A féreg nyers erővel végrehajtott támadással próbálja kitalálni a szolgáltatások gyenge jelszavait. Kezdetben szótári megközelítést alkalmazunk, amelyben a gyakran használt jelszavakat teszteljük elsőbbségi sorrendben.
Amint a kártevő kiderítette a jelszót, egy dropper szkriptet terjeszt a Bash vagy a Powershell segítségével, amely telepíti az MXRig bányászprogramot. Ezen kívül a féreg megpróbál független a fertőzött szerver hálózatában, hogy további erőforrásokat tudjon megcsapolni a kriptomininghez. Az Intezer szerint a kártevőt jelenleg nem észlelik a vírusirtó szoftverek, ezért nagyon veszélyes.
Ezért csak az erős jelszavak és lehetőség szerint a kétfaktoros hitelesítés nyújthat védelmet. A biztonsági cég azt is javasolja, hogy kapcsolják ki a nem használt szolgáltatásokat, és korlátozzák a szükséges szolgáltatások kívülről való elérhetőségét. Az Intezer szerint a naprakészen tartott szoftverek gyakran megakadályozhatják a rosszindulatú szoftverekkel való fertőzést.
