I dipendenti della società di analisi di malware Intezer hanno, secondo un Blog postha scoperto un nuovo worm che attacca i server Linux e Windows al fine di utilizzare la loro potenza di calcolo per estrarre la criptovaluta Monero. Come regola, Monero, a differenza di molte altre criptovalute, non è calcolato con speciali Asics, ma con GPU e CPU convenzionali. I server x86 dirottati ottengono quindi un rendimento elevato.
Secondo Intezer, il worm è distribuito e controllato centralmente tramite un server di comando e controllo. Regolare Aggiornamenti sul server suggeriscono che la rete mineraria è amministrata da un gruppo di hacker attivo.
MySQL, Tomcat e Jenkins come vettori di attacco
Il worm si diffonde attraverso interfacce pubblicamente visibili di servizi come MySQLTomcat e Jenkins (porte come 8080, 7001 e 3306). Il worm tenta di indovinare le password deboli per questi servizi tramite un attacco di forza bruta. Inizialmente, viene utilizzato un approccio a dizionario, in cui le password usate di frequente sono testate in modo prioritario.
Una volta che il malware ha scoperto una password, distribuisce uno script contagocce via bash o powerhell che installa un minatore MXRig. Inoltre, il verme tenta di indipendente sulla rete del server infetto per poter attingere ad altre risorse per la criptominazione. Attualmente il malware non viene rilevato da un software antivirus ed è quindi molto pericoloso, secondo Intezer.
Pertanto, solo password forti e, se possibile, l'autenticazione a due fattori possono fornire protezione. La società di sicurezza raccomanda inoltre di disattivare i servizi che non vengono utilizzati e di limitare l'accessibilità dei servizi richiesti dall'esterno. Inoltre, secondo Intezer, un software aggiornato può spesso prevenire l'infezione da malware.
