È stato individuato un dropper (cioè un codice malevolo creato per installare un malware, un virus o aprire una backdoor su un sistema target) che i criminal hacker hanno già utilizzato per installare un cryptominer su sistemi Linux.
La particolarità del nuovo malware, identificato dall’analista di sicurezza Luke Leal dei Sucuri Labs, è la sua capacità di guadagnarsi la persistenza sulle macchine infette sfruttando il servizio cron utilizzato tipicamente per eseguire azioni pianificate. In pratica, il malware è in grado di creare e programmare una nuova attività pianificata per reinfettare le macchine compromesse dopo essere stato rimosso.
Indice degli argomenti
Cryptominer per Linux: ecco come infetta i sistemi
La prima traccia del malware è stata individuata dopo aver notato il funzionamento anomalo di un server Web sul quale la CPU risultava occupata al 100% da un processo non identificato: segno incontrovertibile di un host infetto da malware di crittografia configurato per utilizzare tutte le risorse informatiche disponibili sulla macchina target.
Dall’analisi effettuata sul dropper, il cryptominer è stato scaricato sull’host utilizzando uno script bash chiamato cr2.sh con un metodo al momento ancora sconosciuto: probabilmente i criminal hacker sono riusciti a sfruttare una vulnerabilità non patchata, oppure mediante un attacco di tipo brute force o phishing che ha consentito loro di entrare in possesso delle credenziali di accesso al sistema dell’amministratore.
La prima operazione compiuta dallo script bash malevolo, subito dopo essere stato eseguito sulla macchina compromessa, consiste nel terminare altri eventuali processi di cryptomining come xmrig e cryptonight.
Successivamente, il dropper determina se il sistema operativo installato sul sistema operativo è a 32 o a 64 bit e scarica il relativo payload del “suo” cryptominer mandando una richiesta al server C&C controllato dai criminal hacker.
Lo script provvede quindi ad eseguire il comando POSIX nohup in modo da consentire al processo associato al miner di continuare a funzionare anche se l’utente termina la sessione di bash.
La catena infettiva del malware, a questo punto, prevede la cancellazione del payload e il file di configurazione del miner per nasconderne la presenza all’interno del sistema.
A questo punto, il malware acquisisce la persistenza sul server infetto creando un cron job che, ogni minuto, controllerà la presenza dello script cr2.sh, scaricandolo ed eseguendolo di nuovo qualora fosse stato cancellato.
I consigli per difendersi dal malware
Questa particolare tecnica di persistenza del cryptominer per Linux evidenzia come ormai la caccia ai malware non può dare più nulla per scontato.
Per assicurarsi che un’infezione sia completamente debellata occorre rilevare anche potenziali metodi di persistenza che i codici malevoli utilizzano per reinfettare il sistema anche senza l’intervento diretto dei criminal hacker.
L’analisi del codice malevolo del dropper, inoltre, lascia intuire che il malware potrebbe prendere di mira non solo i server Web, ma anche sistemi desktop su cui sono installate distribuzioni Linux a 32/64 bit. Altre possibili varianti, inoltre, potrebbero essere utilizzate per infettare anche macchine Windows.
L’utilizzo di uno script bash per la gestione del malware, inoltre, rende l’attacco molto simile ad una campagna di cryptojacking: uno stratagemma utilizzato dai criminal hacker per bypassare i controlli degli script utilizzati dagli amministratori di sistema per rilevare e terminare processi di cryptomining che abusano delle risorse della CPU di un server.
Il nuovo cryptominer per Linux conferma, inoltre, che la piattaforma viene sempre più presa di mira dai criminal hacker: sono recenti, infatti, le scoperte del trojan SpeakUp e del malware Rocke, entrambi capaci di bypassare i controllo dei sistemi di sicurezza installati sui server Linux e sfruttarne le risorse per minare criptomonete.
