Mining-malware stapt over van Arm-IoT naar Intel-servers

Een mining-malware die eerder alleen op Arm-aangestuurde Internet of Things (IoT) apparaten gezien werd, heeft de overstap naar Intel-systemen gemaakt. Dat ontdekte beveiligingsonderzoeker Larry Cashdollar van Akamai.

Cashdollar stelt dat één van zijn honeypot-systemen onlangs een IoT-malware heeft opgedoken die zich op Intel-machines die Linux draaien lijkt te richten. “Ik vermoed dat het een afgeleide is van andere IoT-crypto mining botnets”, aldus de onderzoeker tegenover The Register. “Deze lijkt enterprise-systemen als doelwit te hebben.”

De malware is afgestemd op Intel x86- en 686-processors. Het lijkt een SSH Port 22-verbinding op te zetten en zichzelf te leveren als gzip archive. Vervolgens controleert de malware of de machine al geïnfecteerd is of dat er een oudere versie draait die afgesloten moet worden.

Drie directories

Mocht dit alles niet het geval zijn, dan maakt de malware drie verschillende directories aan, met verschillende versies van hetzelfde bestand.

“Iedere directory bevat een variatie van de XMrig v2.14.1 cryptocurrency miner in 32 bit- of 64 bit-format”, aldus Cashdollar. “Sommige binaries zijn vernoemd naar veelvoorkomende Unix-tools, in de hoop niet op te vallen in een normale processenlijst.”

De malware installeert pas daarna de tool voor het minen van cryptovaluta zelf. Ook past het dan het crontab-bestand van het systeem aan, om te zorgen dat de malware ook na een reboot blijft draaien. Tot slot installeert de malware een shell-script, waarmee het kan praten met de command and control-server.

Overstap

Het lijkt er op dat de hackers een nieuwe markt in zijn gegaan om hun mining-operaties in uit te breiden. Toen er geen nieuwe Arm- en MIPS-aangestuurde apparaten meer waren, begonnen ze te zoeken naar Intel-systemen die bestanden via SSH port 22 accepteren.

“Criminelen blijven onbeveiligde resources gebruiken om geld te verdienen, op iedere manier die ze kunnen”, stelt Cashdollar. “Systeemadministratoren moeten de best practices voor beveiliging inzetten op de systemen die ze beheren.”

De beveiligingsonderzoeker wijst er op dat onbeveiligde diensten met niet-gepatchte kwetsbaarheden en zwakke wachtwoorden de voornaamste doelwitten zijn voor misbruik.