بدافزار استخراج ارز دیجیتال تازهای کشف شدهاست که پلتفرم لینوکس را هدف گرفتهاست.
منبع : مرکز مدیریت راهبردی افتا
بدافزار استخراج ارز دیجیتال تازهای کشف شدهاست که پلتفرم لینوکس را هدف گرفتهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گونه جدیدی از بدافزار استخراج ارز دیجیتال کشف شدهاست که پلتفرم لینوکس را هدف قرار داده و استخراجگر ارز دیجیتال Cryptonate XMR-Stak را روی آن نصب میکند. این بدافزار به جستوجو و از بین بردن سایر بدافزارهای لینوکس و استخراجکنندههای موجود در دستگاه آسیبدیده نیز میپردازد.
این اسکریپت مخرب استخراج ارز دیجیتال در یکی از هانیپاتهای ترندمیکرو شناسایی شدهاست و بر اساس بررسیها، برخی قسمتهای کد آن با بدافزار Xbash مشترک بوده و ساختار آن بسیار نزدیک به استخراجگر ارز دیجیتال KORKERDS است. این نسخه از Korkerds از روتکیتها برای پنهانکردن خود استفاده نمیکند، بلکه استخراجگر Stratum XMR-Stak را دانلود میکند که از CPU یا GPU سیستم برای یافتن ارزهای Cryptonight استفادهمیکند.
اسکریپت اولیه یک فایل crontab را بهعنوان بخشی از مرحله اول نفوذ دانلود میکند که برای اجرای فاز بعدی که شامل سه تابع است، استفاده خواهدشد:
• تابع B، تمام بدافزارها و استخراجگرهای ارز دیجیتال و تمام خدمات مرتبط با بدافزارها را از بین میبرد. این تابع همچنین دایرکتوریها و فایلهای جدیدی ساخته و فرایندهای مرتبط با آدرسهای IP شناسایی شده را متوقف میکند.
• تابع D کد باینری استخراجگر ارز دیجیتال را دانلود کرده و آن را اجرا میکند.
• تابع C اسکریپتی را دانلود کرده و آن را در فایل /usr/local/bin/dns ذخیره میکند سپس crontab جدیدی ایجاد میکند تا این اسکریپت را در ساعت ۱ صبح فراخوانی کند.
در این مرحله، بدافزار برای از بین بردن رد خود از پاک کردن لاگ سیستم اطمینان حاصل کرده و همچنین با استفاده از فایلهایcrontab جاسازی شده، از حذف شدن خود پس از راهاندازی مجدد و یا حذف فایلها جلوگیری میکند. مرحله دوم نفوذ این بدافزار از چندین دوربین IP و سرویسهای وب پورت TCP 8161 آغاز میشود.
تفاوت اصلی عملکرد این بدافزار و KORKERDS این است که در این بدافزار، اسکریپت جدید فقط یک فایل crontab را وارد میکند که کل کد و استخراجگر را در بر دارد درحالیکه KORKERDS ،crontab را بهطور مستقیم ذخیره میکند.