La branche cybersécurité d'AT&T analyse la menace des mineurs de Crypto sur les serveurs de messagerie

Alien Labs d'AT&T se lance dans l'analyse des logiciels malveillants de cryptominage avec une nouvelle analyse technologique de la façon dont un mineur de Monero s'infiltre dans les réseaux.

Sorti jeudi, lerapport Le chercheur en sécurité Fernando Domínguez explique étape par étape comment un cryptojacker discret infecte et se propage sur des serveurs Exim, Confluence et WebLogic vulnérables, en installant un code malveillant qui exploite Monero via un proxy. Selon lui, les serveurs Exim représentent plus de la moitié des serveurs de messagerie. ZDNet.

Le ver injecte d'abord dans les serveurs cibles un script BASH qui recherche et supprime les processus de minage concurrents avant de tenter d'infiltrer d'autres machines connues du réseau.tuent souvent les mineurs concurrents lorsqu'ils infectent un système, et pour une raison très simple : plus un processus consomme de CPU, moins il en reste pour les autres, selon le rapport.

Les serveurs piratés téléchargent ensuite la charge utile du script : une « omelette » (comme est appelée la variable du fichier exécutable téléchargé) basée sur le mineur Monero open source appelé XMRig.

Disponible sur GitHub, XMRig est un outil très apprécié des pirates informatiques et un élément essentiel de l'arsenal des cryptojackers. Il a été réintégré dansMineurs de MacBook,répartis sur500 000 ordinateurs et, en 2017, est devenu si populaire que des rapports d'exploitation minière malveillantea atteint plus de 400pour cent.

Selon AT&T Alien Labs, ce mineur modifié opère via un proxy. Il est donc quasiment impossible de tracer les fonds, voire de déterminer l'adresse du portefeuille, sans accès au serveur proxy.

Faire cuire cette omelette est difficile. Lors du téléchargement, un autre fichier appelé « sésame » – identique au script BASH original – est également téléchargé. C'est la clé de la persistance du ver : il s'associe à une tâche cron avec un intervalle de cinq minutes, ce qui lui permet de résister aux tentatives d'arrêt et aux arrêts du système. Il peut même se mettre à jour automatiquement avec les nouvelles versions.

AT&T Alien Labs a commencé à suivre le ver en juin 2019. Il avait déjà été étudié par la société d'analyse de sécurité cloud Lacework en juillet.

Les chercheurs T l'ampleur exacte de ce mineur de Monero anonyme. Le rapport d'Alien Labs admet qu'il est difficile d'estimer les revenus générés par cette campagne pour l'acteur malveillant, mais souligne que la campagne n'est pas d'une grande ampleur.

Néanmoins, cela sert de rappel à tous les opérateurs de serveur : KEEP toujours votre logiciel corrigé et à jour.