Securityonderzoeker Akamai waarschuwt voor Panchan, een malwarevorm die onderwijsinstelling infecteert om cryptocurrency te minen. In Nederland werden enkele apparaten getroffen.

Het virus verspreidt zich via gestolen SSH-sleutels en voert cryptomining-malware uit in het geheugen van geïnfecteerde apparaten. Aanvallers van onderwijsinstellingen zoeken vaak naar intellectueel eigendom, maar Panchan focust op crypto. De meeste infecties vinden plaats in de Verenigde Staten en Oost-Azië. De malware is zeldzaam in Nederland, maar desalniettemin aanwezig (zie: Malware Activity).

Panchan is geschreven in programmeertaal Go 1.18. De malware communiceert in platte tekst via TCP. Een admin panel maakt het mogelijk om cryptomining-configuraties op afstand te beheren. “Het panel is geschreven in het Japans, wat hint naar de geolocatie van de ontwikkelaar”, deelde Steve Kupchik, securityprofessional bij Akamai.

Waarom onderwijsinstellingen?

Het is duidelijk dat de malware op onderwijsinstellingen focust. De vraag is waarom. Akamai vermoedt dat er een verband is met de werkwijze in de sector. “Onderzoekers in verschillende academische instellingen werken misschien vaker samen dan werknemers in het bedrijfsleven, en hebben credentials nodig om zich te identificeren bij systemen die buiten het netwerk van hun organisatie liggen”, zegt hij. “We zagen bijvoorbeeld dat sommige geïnfecteerde universiteiten uit hetzelfde land kwamen.”

Lees meer