Les chercheurs en sécurité ont découvert un nouveau malware qui installe un programme d’extraction de crypto-monnaie légitime sur des serveurs Windows et Linux mal sécurisés.
Avigayil Mechtinger d’Intezer, spécialisé dans l’analyse des logiciels malveillants, suit le ver multiplateforme qui installe XMRig Miner pour exploiter la crypto-monnaie Monero depuis début décembre.
Selon Mechtinger, le ver cible le public face aux installations MySQL, Tomcat et Jenkins qui ont des mots de passe faibles.
Sommaire
Actif et mutant
Expliquant le flux de travail du ver, Mechtinger écrit que le ver recherche les services Tomcat, Jenkins et MySQL avec des ports ouverts, puis se force brutalement à l’intérieur. Il délivre ensuite un script de chargement sur le serveur compromis qui déposera et exécutera le XMRig Miner.
Une version antérieure du ver a également tenté d’exploiter la dernière vulnérabilité de WebLogic (CVE-2020-14882). Pendant l’analyse de Mechtinger, l’attaquant a continué à mettre à jour le ver sur le serveur de commande et de contrôle (C&C). Cela indique «qu’il est actif et pourrait cibler des services configurés faibles supplémentaires dans les futures mises à jour», écrit-elle.
Dans son rapport, Mechtinger note que le code du ver est «presque identique» pour les cibles Windows et Linux, ce qui pour elle «démontre que les menaces Linux passent toujours sous le radar pour la plupart des plates-formes de sécurité et de détection.»
Notez que ce dernier ver fait suite à la découverte du ver PgMiner, qui exploitait une vulnérabilité contestée dans les serveurs PostgreSQL fonctionnant sous Linux pour installer un mineur de crypto-monnaie.
Mechtinger note également une autre tendance: «En 2020, nous avons observé une tendance notable du malware Golang ciblant différentes plates-formes, notamment Windows, Linux, Mac et Android. Nous estimons avec une grande confiance que cela se poursuivra en 2021. »
Via: BleepingComputer
