Logiciel malveillant automatique

Autom est le nom d'une campagne de crypto-mining en cours, détectée pour la première fois en 2019. Depuis lors, un total de 84 attaques contre les serveurs de pots de miel de chercheurs ont été signalés, dont quatre en 2021. Ces attaques de crypto-mining ne sont pas attendues. ralentir au cours de l'année à venir. En fait, c'est plutôt le contraire. Les experts rapportent que les attaquants à l'origine de la campagne Autom font évoluer leurs méthodes, rendant les menaces de logiciels malveillants plus capables d'échapper aux mécanismes de défense et de passer sous le radar des outils d'analyse antivirus.

Les attaques initiales de cette campagne impliquaient l'exécution d'une commande menaçante, une fois qu'un utilisateur exécute une image vanille avec le nom "alpine:latest". Cette action a abouti à un script shell nommé "autom.sh". en cours de téléchargement sur l'appareil. Cette tactique continue de réussir, car la plupart des organisations font confiance aux images vanilles officielles et autorisent leur utilisation. Tandis que leLa commande menaçante ajoutée à l'image vanilla corrompue a à peine été modifiée au fil du temps, les chercheurs de logiciels malveillants ont identifié une différence dans le serveur à partir duquel le script shell est téléchargé.

Selon les rapports, la séquence d'attaque consiste toujours en le script autom.sh, qui permet la création d'un nouveau compte utilisateur nommé « akay ». Ensuite, les privilèges du compte sont mis à niveau vers un utilisateur root, permettant aux attaquants d'exécuter des commandes arbitraires sur la machine infectée et, éventuellement, d'exploiter les ressources disponibles pour extraire la crypto-monnaie.

Une nouvelle fonctionnalité ajoutée récemment concerne la capacité de rester invisible à la détection - leles scripts menaçants peuvent désormais désactiver les mécanismes de sécurité en récupérant un script shell de minage obscurci. Ce script particulier évite les outils de sécurité, car il est codé en Base64 cinq fois.

Outre les vulnérabilités déjà connues que les cybercriminels exploitent généralement pour mener des attaques de crypto-mining, ces dernières semaines, des failles de sécurité dans la bibliothèque de journalisation Log4j ont été exploitées pour exécuter un schéma appelé crypto-jacking, qui implique également le détournement de machines dans le but d'exploiter crypto-monnaies. De plus, certaines vulnérabilités récemment découvertes dans Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers et VMware vCenter ont été mal utilisées. Dans le même temps, le fabricant d'appliances de stockage en réseau (NAS) QNAP a également annoncérécemment la découverte d'un malware d'extraction de crypto-monnaie qui pourrait occuper environ 50% de l'utilisation totale du processeur.