JDWPMiner Mining Trojan

Le cheval de Troie JDWPMiner Mining est une menace de malware découverte par les chercheurs d'infosec. Ce malware particulier fait partie d'une opération d'attaque menaçante qui cible l'installation à l'aide de JDWP (Java Debug Wire Protocol). JDWP est le protocole utilisé pour la communication entre un débogueur et la machine virtuelle Java qu'il débogue. Les attaquants exploitent une vulnérabilité RCE (Remote Code Execution) pour fournir un cheval de Troie minier tout en établissant un contrôle sur le système compromis.

La chaîne d'attaque

Java faisant partie intégrante du développement de toutes les applications, toute vulnérabilité découverte pourrait permettre aux attaquants d'infecter un nombre important de victimes potentielles. Dans le cas de JDWPMiner, l'acteur de la menace recherche une installation où le débogage à distance n'a pas été fermé. Les cybercriminels abusent d'un RCE de débogage Java pour obtenir un accès illicite, puis livrer des binaires de minage. Les charges utiles sont récupérées à partir d'une source non sûre et utilisées pour établir une opération minière. Par la suite, les ressources du système, principalement le CPU, seront détournées vers le minage d'une crypto-monnaie spécifique. Naturellement, cela laisserait moins de ressources pour les opérations normales effectuées sur les appareils infectés, ce qui entraînerait une réduction de la production et des pertes potentielles.

De plus, la menace ajoute une clé à allowed_key, ce qui lui permet d'établir un accès à distance. Ensuite, il exécute quatre méthodes différentes pour faire rebondir le shell et obtenir un contrôle total sur l'hôte. Les victimes pourraient alors subir des fuites de données, des pertes de données ou d'autres résultats négatifs en fonction des intentions néfastes des attaquants. La menace est également équipée de plusieurs techniques de persistance. Il utilise crontab, cron.d et rc.local pour établir des tâches ou des travaux planifiés.

Atténuation

Pour empêcher JDWPMiner Trojan d'infiltrer votre système, vous pouvez prendre plusieurs précautions faciles à mettre en œuvre. Tout d'abord, fermez le port JDWP ou envisagez de le désactiver depuis Internet. Si vous effectuez un débogage dans un environnement intermédiaire, assurez-vous de désactiver le mode Débogage après avoir terminé vos tâches. La désactivation du mode Java Debug aidera également à arrêter l'intrusion de la menace.