Un logiciel malveillant de crypto-extraction nettoie l'hôte Linux pour en maximiser les avantages

ad-midbar
ad-midbar
ad-midbar
ad-midbar

Un logiciel malveillant de crypto-extraction nettoie l'hôte Linux pour en maximiser les avantages

  • Un nouveau script d'extraction de crypto-monnaie malveillant se cache bien dans les crontabs pour saper les systèmes Linux.
  • Le nouveau script détecte et supprime bon nombre de mineurs de Linux connus, essentiellement en nettoyant l'hôte.
  • KORKERDS est à la base de son code, mais il comporte des améliorations subtiles mais cruciales par rapport à celui-ci.

Les chercheurs de Trend Micro ont découvert un nouveau logiciel malveillant de crypto-extraction qui supprime un grand nombre de monnayeurs Linux connus, de sorte que les ressources du système hôte sont toutes disponibles. Le script utilise le code de KORKERDS et Xbash, combinant les traits d’obscurcissement et de persistance. Ce nouveau logiciel malveillant utilise les commandes crontabs pour télécharger et exécuter davantage de code malveillant. Cron est un planificateur de tâches basé sur le temps pour Linux. Le script peut donc être exécuté périodiquement sans être affecté par les redémarrages du système, ce qui permet de télécharger à nouveau le code du logiciel malveillant s'il a été détecté et supprimé.

Par rapport au code KORKERDS utilisé comme base pour ce nouveau logiciel malveillant, il ne désinstalle aucun produit de sécurité présent sur le système infecté, pas plus qu’il n’installe de rootkit. Au lieu de cela, ces composants sont inclus dans sa liste de mise à mort. Par conséquent, si le KORKERDS d'origine est déjà dans le système, il est arrêté. Le mineur de crypto-monnaie téléchargé par le script est une version personnalisée de XMR-Stak, qui prend en charge une large gamme de processeurs et de processeurs graphiques, de sorte que les résultats de l'extraction sont optimaux. Ce nouveau script de programme malveillant élimine non seulement tous les autres malfaiteurs et autres logiciels malveillants, mais il détecte également les connexions et les services pertinents connectés à des adresses IP spécifiques et les suspend également.

Le script insère une seule crontab pour permettre l'extraction et l'exécution du code codé sous BASE64. Au lieu de cela, KORKERDS utilise crontab de manière plus étendue et plus ouverte, de sorte que ce nouveau script affiche un niveau de dissimulation plus élevé dans ses opérations, tandis que la propagation est toujours basée sur le script KORKERDS Python. Bien que subtiles, les différences entre KORKERDS et le nouveau script sont déterminantes pour son efficacité et son efficacité de routine. Supprimer tous les logiciels malveillants et les logiciels malveillants concurrents ou du moins les arrêter peut donner à ce script original l'apparence d'un mal, mais cela ne signifie pas pour autant que le système infecté fonctionnera plus rapidement selon ses règles.

La meilleure pratique contre ce type d'infections reste le paramètre système multi-couches. Ainsi, lorsqu'un script malveillant pénètre dans une batterie de serveurs, il peut être isolé et confiné dans un groupe de systèmes. La vérification régulière des entrées de crontab et des tâches qui consomment des ressources système est un autre moyen efficace de détecter les infections par logiciels malveillants. Pour une liste complète des indicateurs de compromission de ce nouveau logiciel malveillant de chiffrement minier, consultez le rapport de sécurité détaillé de Trend Micro.

Avez-vous déjà été infecté par un logiciel malveillant de crypto-extraction? Faites-nous part de votre expérience dans la section commentaires ci-dessous, et n'oubliez pas d'aimer et de vous abonner à nos réseaux sociaux sur Facebook et Twitter, votre portail pour les nouvelles techniques quotidiennes.



Source

fond d'annonce
fond d'annonce
fond d'annonce
fond d'annonce

SANS COMMENTAIRES