Medewerkers van malware analyse bedrijf Intezer hebben, volgens een Blogberichts heeft een nieuwe worm ontdekt die Linux- en Windows-servers aanvalt om hun rekenkracht te gebruiken voor het delven van de cryptocurrency Monero. In de regel wordt Monero, in tegenstelling tot veel andere cryptocurrencies, niet berekend met speciale Asics, maar met conventionele GPU's en CPU's. De gekaapte x86-servers leveren dus een hoge opbrengst op.
Volgens Intezer wordt de worm centraal gedistribueerd en aangestuurd via een command-and-control-server. Regelmatig Updates op de server suggereren dat het mijn netwerk wordt beheerd door een actieve hacking groep.
MySQL, Tomcat en Jenkins als aanvalsvectoren
De worm verspreidt zich via publiek zichtbare interfaces van diensten zoals MySQLTomcat en Jenkins (poorten zoals 8080, 7001 en 3306). De worm probeert zwakke wachtwoorden voor deze diensten te raden via een brute kracht aanval. In eerste instantie wordt een woordenboekbenadering gebruikt, waarbij veelgebruikte wachtwoorden op prioritaire wijze worden getest.
Zodra de malware een wachtwoord heeft ontdekt, verspreidt het een dropperscript via bash of powershell dat een MXRig-mijnwerker installeert. Bovendien probeert de worm dan onafhankelijke op het netwerk van de geïnfecteerde server om verdere middelen voor cryptominatie aan te boren. Op dit moment wordt de malware niet gedetecteerd door antivirussoftware en is daarom volgens Intezer zeer gevaarlijk.
Daarom kunnen alleen sterke wachtwoorden en, indien mogelijk, tweefactorige authenticatie bescherming bieden. Het beveiligingsbedrijf beveelt ook aan om diensten die niet worden gebruikt uit te schakelen en de toegankelijkheid van de vereiste diensten van buitenaf te beperken. Bovendien kan volgens Intezer software die up-to-date wordt gehouden, vaak besmetting met malware voorkomen.