skip to Main Content

Cybercrime, nuovo malware si intrufola nei server Windows-Linux per veicolare XMRig

di Pierguido Iezzi

Nuovo malware si intrufola nei server Windows-Linux per veicolare XMRig

Un nuovo malware, scritto in Golang e scoperto di recente, ha apparentemente capacità di auto-diffusione e sta diffondendo il cryptominer XMRig su server Windows e Linux. Rilevato per la prima volta a inizio di dicembre dello scorso anno, l’attacco utilizza tre file: uno script dropper (bash o powershell), un worm binario Golang e un XMRig Miner, tutti ospitati sullo stesso server di command and control (C2). Il codice malevolo del cybercrime multipiattaforma ha anche capacità tipiche dei worm che gli permettono di diffondersi in altri server (per esempio MySQL, Tomcat, Jenkins e WebLogic) attraverso il brute forcing delle password (in particolare quelle deboli e di default).

E’ un worm, usato dal cybercrime per infettare le vittimer con il cryptominer

In un post pubblicato qualche giorno fa sul proprio blog, i ricercatori di cybersecurity di Intezer hanno rivelato che il worm si diffonde in tutta la rete al fine di rilasciare XMRig Miner – un miner di criptovaluta Monero – su larga scala. Il malware si rivolge quindi sia ai server Windows sia Linux e può muoversi facilmente da una piattaforma all’altra. Si rivolge a servizi pubblici come MySQL, ma anche a dashboard di amministrazione di Tomcat e Jenkins che hanno password deboli. Gli aggressori protagonisti di questa campagna hanno aggiornato attivamente le capacità del worm attraverso il suo server command-and-control (C2) sin dal suo primo avvistamento, il che fa pensare a un malware in costante aggiornamento e sottoposto a controllo diretto. Il server C2 è utilizzato per ospitare lo script bash o lo script che rilascia il PowerShell (a seconda della piattaforma target), un binary worm scritto in Golang, e il minatore XMRig impiegato per estrarre in modo abusivo la criptovaluta Monero non rintracciabile sui dispositivi infetti.

Come si diffonde il codice malevolo

Il worm si diffonde su altri computer mediante la ricerca e l’utilizzo di attacchi brute force su servizi di MySql, Tomcat e Jenkins utilizzando un mix di password spraying e un elenco di credenziali codificate. Una volta penetrato in uno dei server target, il malware distribuirà lo script loader (ld.sh per Linux e ld.ps1 per Windows) e rilascerà sia il minatore XMRig che il worm binario. Il malware interrompe automaticamente la sua attività e si auto-elimina nel caso in cui rilevi che i sistemi infetti siano in ascolto sulla porta 52013. Se la porta non è in uso, il worm aprirà il proprio socket di rete. La circostanza per cui il codice del worm sia quasi identico ai malware PE ed ELF (con quest’ultimo considerato non rilevato su VirusTotal) dimostra che le minacce Linux sono ancora sottovalutate dalla maggior parte delle piattaforme di sicurezza e rilevamento, hanno sottolineato i ricercatori.

La pletora dei possibili bersagli è enorme

Una problematica fin troppo comune, visto e considerato che i cryptominer ancora oggi sono visti come un fastidio da gran parte dei CIO e CISO, piuttosto che una vera e propria minaccia.  Tuttavia, il numero di sistemi potenzialmente attaccabili è sbalorditivo: secondo i dati forniti da Shodan vi sono 5,5 milioni e mezzo di server MySQL, Tomcat, Jenkins e WebLogic collegati a Internet. È semplice matematica, se solo lo 0,1 per cento dei sistemi è soggetto all’attacco, risulta disponibile un’enorme potenza computazionale da usare per il mining di criptovalute e la generazione di denaro. Risorse che possono poi essere riciclate in altri fini da parte dei cyber criminali, come le botnet per campagne malware.

Il worm utilizza exploit ben noti e tecniche di password-spraying per trovare nuovi host in cui diffondersi e infettare

La protezione contro questo tipo di attacchi non si discosta molto da quella suggerita in caso di altri tipi di attacchi. Le organizzazioni (pubbliche e private) dovrebbero monitorare i loro sistemi per individuare le vulnerabilità e correggerle così in tempo utile, controllare qualsiasi cambiamento all’interno dei server, anche solo l’eliminazione di un file, e applicare policy rigide in tema di password. Questo nuovo worm, infatti, utilizza exploit ben noti e tecniche di password-spraying per trovare nuovi host in cui diffondersi e infettare. Fortunatamente, finché i team di cybersecurity mantengono aggiornate le loro macchine, utilizzando buone pratiche di autenticazione e limitando l’esposizione pubblica della loro infrastruttura, questo cryptominer non dovrebbe rappresentare una grossa minaccia. Anche se è certamente allarmante che non ci siano stati rilevamenti per il campione iniziale del codice malevolo, non c’è da stupirsi. Il tooling di analisi del malware di Golang è ancora un po’ in ritardo. Questo fa comunque seguito alla crescita osservata nell’utilizzo di Golang per la creazione di malware e ci si aspetta che tale tendenza continui…

Come difendersi da questa minaccia

Per difendersi dagli attacchi brute force del cybercrime lanciati da questo nuovo malware multipiattaforma è necessario limitare i login e utilizzare password complesse, univoche e fresche su tutti i servizi connessi a Internet, così come l’autenticazione a due fattori, ove possibile. Contromisure ulteriori sono l’aggiornamento costante dei software (installando tutte le ultime patch rilasciate) e controllare frequentemente che i server non siano raggiungibili via Internet, a meno che non siano assolutamente necessario. Inoltre è sempre bene mantenere alto il livello di attenzione affidandosi a servizi di Cyber Threat Intelligence per rilevare possibile presenza di sistemi già infettati sul nostro perimetro.

Non abbassiamo la guardia!

Back To Top