Cryptomining-malware zet klauwen in door Linux aangestuurde Intel-machines

Een monero (XMR) cryptomining malware-infectie die voorheen alleen op Arm-powered IoT-apparaten te zien was, heeft een sprong naar Intel-systemen gemaakt. Een onderzoeker van Akamai beweert dat een van zijn honeypot-systemen onlangs IoT-malware spotte, die zich richtte op Intel-machines die draaien op Linux.

Een honeypot is een op het netwerk aangesloten systeem, dat speciaal is opgezet als lokvogel om cyberaanvallen te lokken. Bovendien is het ontwikkeld om hackpogingen te detecteren, af te buigen of te bestuderen om ongeautoriseerde toegang tot informatiesystemen te verkrijgen. “Ik vermoed dat de cryptomining malware-infectie waarschijnlijk een afgeleide is van andere IoT-cryptomining-botnets. Deze lijkt zich op bedrijfssystemen te richten”, zegt Larry Cashdollar, onderzoeker bij Akamai. 

Gzip-archief

Volgens The Register is de malware niet alleen afgestemd op Intel x86- en 686-processors, maar probeert deze ook een SSH Port 22-verbinding tot stand te brengen en zichzelf af te leveren als een gzip-archief. Vervolgens controleert de malware of de machine al is geïnfecteerd, waarna in dat geval de installatie stopt. Ook kan het zijn dat er al een eerdere versie actief is, die moet worden beëindigd. Van daaruit worden drie verschillende mappen gemaakt met verschillende versies van dezelfde bestanden.

Cashdollar: “Elke map bevat een variant van de cryptocurrency miner van XMrig v2.14.1 in x86 32-bits of 64-bits formaat. Sommige van de binaries zijn vernoemd naar algemene Unix-hulpprogramma’s, zoals ps, in een poging om op te gaan in een normale proceslijst.”

Crontab-bestand

Het lijkt erop dat de malware de cryptocurrency mining-tool vervolgens zelf installeert en het crontab-bestand van het hostsysteem wijzigt. Het doel hierachter is om ervoor te zorgen dat de malware zelfs na een reboot wordt uitgevoerd. Bovendien installeert de malware een zogeheten shell script, waarmee het kan communiceren met de command- en control server.

“Criminelen blijven op manieren zoeken om geld verdienen met onbeveiligde bronnen. Systeembeheerders moeten best practices op het gebied van beveiliging toepassen met de systemen die ze beheren. Onbeveiligde services met niet-gepatchte kwetsbaarheden of zwakke wachtwoorden zijn belangrijke doelen voor uitbuiting en misbruik”, aldus Cashdollar.

Lees ook: Werknemers koppelen Oekraïense kerncentrale aan internet om cryptomunten te minen