I ricercatori di sicurezza informatica dell'unità 42 dell'azienda Palo Alto Networks hanno scoperto una nuova campagna malware incentrata sull'estrazione della criptovaluta per la privacy Monero.
La nuova campagna malware chiamata Ildegarda mira ad attaccare i cluster della piattaforma open source Kubernetes, per sfruttare la potenza di elaborazione computazionale delle apparecchiature nel mining Monero (XMR), il criptovaluta incentrato sulla privacy. L'azienda di sicurezza informatica che ha scoperto il malware, Palo Alto Networks, rileva che questo nuovo malware potrebbe essere utilizzato dal gruppo di minacce TeamTNT, noto per sfruttare demoni Docker non sicuri, distribuire immagini di contenitori dannosi ed eseguire attacchi per rubare credenziali di Amazon Web Services e altro ancora.
El segnalare La ricerca dell'Unità 42 di Palo Alto Networks dimostra che gli aggressori sono riusciti a ottenere l'accesso iniziale attraverso un kubelet mal configurato, che consentiva l'accesso anonimo alla rete, consentendo agli aggressori di stabilirsi all'interno di uno dei cluster. Dopo aver infettato uno di questi, il malware Hildegard ha iniziato a diffondersi il più ampiamente possibile nel sistema e nei computer, avviando infine operazioni di malware. cryptojacking, con lo scopo di utilizzare la potenza di calcolo di ciascuno dei computer Kubernetes infetti per estrarre criptovalute, come Monero, in modo furtivo e illegale.
Si può essere interessati: Nuovo potenziale rischio per i vostri bitcoin, la Spagna tra i paesi più colpiti dai malware
Caratteristiche del nuovo malware
Il nuovo malware è in esecuzione da appena un mese, secondo i ricercatori dell'Unità 42, e sebbene abbia molti degli strumenti e delle funzionalità visti nelle precedenti campagne malware guidate da questo gruppo di minacce, il malware Hildegard presenta anche alcune nuove funzionalità che i ricercatori non si era visto nelle campagne precedenti.
In particolare, i ricercatori di sicurezza informatica notano che il malware Hildegard di TeamTNT utilizza due modi per stabilire connessioni di comando e controllo (C2): uno attraverso una shell inversa tmate e un altro attraverso un canale Internet Relay Chat (IRC), un canale reale basato su testo. protocollo di comunicazione temporale che Usato recentemente gli sviluppatori di Bitcoin per discutere dell'attivazione di Taproot sulla rete.
Inoltre, la nuova campagna malware utilizza un nome di processo Linux noto (bioset) per mascherare e nascondere il processo dannoso, in modo che agisca in modo più furtivo e persistente. Allo stesso modo, i ricercatori sottolineano che il malware Hildegard utilizza una tecnica di iniezione di librerie basata su LD_PRELOAD, che gli consente di nascondere processi dannosi per non essere scoperto. Inoltre, crittografa il payload dannoso all'interno di un codice binario per rendere difficile l'analisi statica automatizzata, consentendogli di resistere a questi tipi di scansioni.
D'altra parte, oltre a tutte queste caratteristiche, i ricercatori sottolineano che si tratta di una campagna di malware in pieno sviluppo, poiché il suo codice base e la sua infrastruttura sono apparentemente incompleti.
Estrazione illegale di Monero (XMR).
I ricercatori della società di sicurezza informatica hanno scoperto che le risorse informatiche dirottate dai cluster Kubernetes dalla campagna malware venivano utilizzate per estrarre maliziosamente e di nascosto la criptovaluta per la privacy Monero (XMR).
Per estrarre la criptovaluta, il malware utilizzava il minatore XMRig, uno dei miner più attraenti per i criminali informatici secondo ESET, un'altra società di sicurezza informatica altamente riconosciuta sul mercato. ESET assicura che il 73% dei malware dedicati al mining illegale, in America Latina e nel mondo, utilizza XMRig.
Nonostante la breve durata di questa campagna malware, i ricercatori hanno scoperto che i criminali informatici stavano già immagazzinando circa 25,05 KH di potenza di calcolo o hash rate, con cui sono riusciti a minare circa 11 XMR, valutati al momento di questa edizione 1.640$.
Continua a leggere: ESET scopre una nuova famiglia di malware in grado di estrarre e rubare criptovalute
