CoinStomp Malware
CoinStomp est une nouvelle famille de logiciels malveillants qui semble être conçue pour infecter les services Cloud, puis utiliser leurs ressources pour extraire de la crypto-monnaie. Ces attaques sont connues sous le nom de cryptojacking. Des détails sur cette menace de malware particulière ont été révélés au public dans un rapport de Cado Security.
Selon leurs conclusions, CoinStomp se compose de scripts shell qui tentent d'exploiter des instances d'ordinateurs Cloud appartenant à divers fournisseurs de services Cloud.en grande partie. Jusqu'à présent, la plupart des cibles de CoinStomp étaient des fournisseurs de cloud situés en Asie. Les chercheurs ont trouvé une référence à l'acteur de menace de cryptojacking suivi sous le nom de Xanthe dans une ancienne URL de charge utile. Cependant, ce seul fait ne suffit pas à justifier l'attribution de la menace avec un niveau de confiance élevé au groupe cybercriminel. De plus, il se peut qu'il ait été laissé par les vrais coupables dans le but de faire fuir les chercheurs en sécurité.
Capacités menaçantes
CoinStomp est équipé de plusieurs techniques anti-détection. Le plus important tourne autour du "time-stomping", une méthode de manipulation des horodatages via la commande Linux touch. Cela permet aux attaquants de masquer les instances où les utilitaires chmod et chattr ont été utilisés.
De plus, la menace tentera également d'affaiblir le serveur Linux ciblé en arrêtant ses politiques cryptographiques. Le but de ces politiques est de protéger le système contre les menaces de logiciels malveillants qui y sont déposées et exécutées. Pour faciliter les actions intrusives du malware CoinStomp, ses créateurs ont ajouté une routine qui utilise une commande kill pour désactiver les politiques cryptographiques à l'échelle du système.
CoinStomp ouvre un shell inversé pour établir la communication avec son serveur Command-and-Control (C2, C&C). En cas de succès, les attaquants peuvent alors utiliser la menace pour fournir des charges utiles menaçantes supplémentaires, y compris des binaires pour des portes dérobées plus puissantes et une version personnalisée de XMRig, un logiciel de crypto-minage Monero. Les charges utiles de la prochaine étape seront exécutées en tant que services systemd à l' échelle du système et recevront des privilèges root.
