CryptoSink

Par GoldSparrow en Malware

Se traduisent par :

En 2019, des chercheurs de logiciels malveillants ont découvert une campagne d'extraction de crypto-monnaie illicite nommée CryptoSink. Les attaquants semblent exploiter une vulnérabilité connue pour compromettre les systèmes ciblés. L'exploit utilisé dans l'opération CryptoSink est appelé «CVE-2014-3120» et il est lié à une ancienne version de l'application Elasticsearch. Le programme en question est compatible avec les systèmes Windows et Linux. De ce fait, les opérateurs de la campagne CryptoSink ont rendu leur menace compatible avec les deux systèmes d'exploitation.

Gagner de la persévérance

Pour compromettre le système ciblé, la menace CryptoSink injectera une variante modifiée du fameux mineur de crypto- monnaie XMRig. Selon que la menace est déployée sur un système Windows ou Linux, elle persistera différemment sur l'hôte. Pour gagner en persistance sur un ordinateur Windows, la menace CryptoSink utiliserait plusieurs astuces de base. Cependant, lorsque la menace CryptoSink compromet un système Linux, il devra utiliser des techniques beaucoup plus complexes pour gagner en persistance. Dès que le malware CryptoSink parvient à infecter un système Linux, il récupérera plusieurs charges utiles corrompues qui aideront les attaquants à accéder par la porte dérobée à la machine. La menace CryptoSink modifierait également la commande «rm», ce qui signifie que chaque fois que cette commande, en particulier, serait utilisée, le malware CryptoSink serait exécuté. De cette façon, même si l'utilisateur supprime les fichiers liés à l'activité du logiciel malveillant CryptoSink, dès qu'il utilise la commande «rm», la menace sera redéployée.

Suppression de concurrents

Le mineur est conçu pour extraire la crypto-monnaie Monero. La menace CryptoSink est également capable de détecter si un autre mineur de crypto-monnaie est présent sur l'ordinateur infecté. Si des mineurs concurrents sont détectés, la menace CryptoSink tentera de suspendre leurs activités. Cependant, le malware CryptoSink ne supprime pas simplement les autres mineurs qui ont pu compromettre le système; il s'assure que si le système essaie de se connecter à une liste préconfigurée de pools de minage, le trafic sera immédiatement redirigé vers '127.1.1.1'. Cela empêche les mineurs concurrents de se connecter à leur pool minier prédéterminé.

L'opération CryptoSink est très avancée et la suppression du mineur d'un hôte compromis peut s'avérer assez difficile. Assurez-vous d'avoir installé une véritable solution anti-malware qui vous aidera à supprimer la menace CryptoSink.

Rechercher

Changer de région

CryptoSink

Gagner de la persévérance

Suppression de concurrents

Soumettre un Commentaire

Tendance

Arnaque par e-mail « YouPorn »

Safe Search Eng

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran