Outlaw: la botnet di mining di criptovaluta che si auto-propaga
Un gruppo di ricercatori di sicurezza informatica ha recentemente scoperto una botnet di mining di criptovaluta chiamata Outlaw, nota anche come Dota. Questo malware si distingue per la sua capacità di auto-propagarsi, prendendo di mira server SSH con credenziali deboli. Secondo un’analisi di Elastic Security Labs, Outlaw è un malware Linux che utilizza attacchi brute-force su SSH, mining di criptovaluta e una propagazione simile a un worm per infettare e mantenere il controllo sui sistemi.
Il gruppo di hacker dietro Outlaw, che prende lo stesso nome del malware, è ritenuto di origine rumena. Altri gruppi di hacker che dominano il panorama del cryptojacking includono 8220, Keksec (noto anche come Kek Security), Kinsing e TeamTNT. Attivo almeno dalla fine del 2018, questo gruppo ha sfruttato server SSH, abusando della loro posizione per condurre ricognizioni e mantenere la persistenza sugli host compromessi, aggiungendo le proprie chiavi SSH al file “authorized_keys”.
Una caratteristica distintiva di Outlaw è il suo componente di accesso iniziale, noto come BLITZ, che consente al malware di auto-propagarsi in modo simile a una botnet, cercando sistemi vulnerabili che eseguono un servizio SSH. Gli attaccanti sono noti anche per incorporare un processo di infezione a più stadi, che prevede l’utilizzo di uno script di shell dropper (“tddwrt7s.sh”) per scaricare un file di archivio (“dota3.tar.gz”). Questo file viene poi scompattato per lanciare il minatore, adottando al contempo misure per rimuovere le tracce di compromessi passati e eliminare sia la concorrenza che i propri precedenti minatori.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
