Graboid

Par GoldSparrow en Worms

Se traduisent par :

La plupart des vers informatiques se propagent via des torrents, des campagnes de publicité malveillante, des téléchargements fictifs et d'autres méthodes populaires. Cependant, certains cyber-escrocs choisissent d'utiliser des vecteurs d'infection plus créatifs. C'est le cas du ver informatique Graboid. Les créateurs du ver Graboid propagent cette menace à l'aide de conteneurs non sécurisés, en l'occurrence Docker.

La Plupart des Victimes sont Localisées en Chine

Les créateurs de ce ver de crypto-piratage ne ciblent pas une certaine classe de personnes, ni un type d’industrie ou d’entreprise particulier. Cependant, la plupart des victimes du ver Graboid se trouvent en Chine. Il a été déterminé qu'il y aurait probablement plus de 10 000 victimes jusqu'à présent. Le ver de crypto-piratage Graboid a pour objectif d’infecter un système et de détourner ses ressources afin d’exploiter la crypto-monnaie Monero.

Par défaut, Docker ne dispose pas de ports ouverts pour un accès distant via Internet. Par conséquent, il est possible que les utilisateurs infectés par le ver Graboid aient configuré l’application de manière incorrecte et qu’ils se soient donc laissés ouverts à la compromission.

Comment se Déroule l'Attaque

Une fois qu'un système est compromis, le vers téléchargera plusieurs scripts bash dotés de nombreuses fonctionnalités à des fins spécifiques et veillera à ce que le comportement du ver soit réellement aléatoire. Le premier fichier, déployé par le ver Graboid, consiste en une liste d'adresses IP vulnérables et susceptibles d'être compromises par la menace. Les opérateurs du ver de crypto-piratage Graboid reçoivent des informations sur le système de la victime, le processeur en particulier. Ceci est accompli en utilisant un script ‘live.sh’. Un autre script appelé ‘cleanxmr.sh’ est chargé de sélectionner l'une des adresses IP vulnérables répertoriées dans le fichier ‘worm.sh’. Ensuite, le ver recherche tout autre logiciel de crypto-extraction ou autre crypto-jacker potentiel (non lié au ver Graboid), éventuellement présent sur la machine infectée. S'il en détecte, le ver Graboid s'assurera de mettre fin à leurs activités pour s'assurer qu'aucune autre application ne récolte les ressources du processeur. Lors de la dernière étape, un script appelé ‘xmr.sh’ installe le module Monero sur l'hôte.

Les analystes de logiciels malveillants n'ont pas été en mesure de déterminer pourquoi les créateurs de ce ver informatique ont randomisé les intervalles d'activité minière, car il n'y a aucun avantage apparent à cette approche; au contraire, cela affecte négativement l'efficacité du mineur.

Cependant, il est clair que les attaquants ont choisi de propager le ver Graboid via des conteneurs Docker. Ce n’est pas une approche inconnue, et les cyber-escrocs ont tendance à opter pour cette méthode car les logiciels antivirus ont souvent tendance à donner une carte blanche à des conteneurs comme Docker. Espérons qu'à l'avenir, les solutions anti-malware seront plus vigilantes face aux conteneurs.

Rechercher

Changer de région

Graboid

La Plupart des Victimes sont Localisées en Chine

Comment se Déroule l'Attaque

Soumettre un Commentaire

Tendance

Arnaque par e-mail « YouPorn »

Safe Search Eng

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran