Peneliti keamanan telah menemukan malware baru yang menginstal program penambangan cryptocurrency yang sah di server Windows dan Linux yang tidak aman.
Avigayil Mechtinger dari Intezer, yang berspesialisasi dalam analisis malware, telah melacak worm multi-platform yang menginstal XMRig Miner untuk menambang cryptocurrency Monero sejak awal Desember.
Menurut Mechtinger, worm menargetkan instalasi MySQL, Tomcat, dan Jenkins yang menghadap publik yang memiliki kata sandi lemah.
Aktif dan bermutasi
Menjelaskan alur kerja worm, Mechtinger menulis bahwa worm memindai layanan Tomcat, Jenkins, dan MySQL dengan port terbuka dan kemudian dengan kasar memaksa masuk. Itu kemudian mengirimkan skrip loader pada server yang dikompromikan yang akan menjatuhkan dan menjalankan XMRig Miner.
Versi sebelumnya dari worm juga berusaha mengeksploitasi kerentanan terbaru di WebLogic (CVE-2020-14882). Selama analisis Mechtinger, penyerang terus mengupdate worm di server Command and Control (C&C). Ini menunjukkan “bahwa itu aktif dan mungkin menargetkan layanan konfigurasi lemah tambahan di pembaruan mendatang,” tulisnya.
Dalam laporannya, Mechtinger mencatat bahwa kode worm “hampir identik” untuk target Windows dan Linux, yang menurutnya “menunjukkan bahwa ancaman Linux masih terbang di bawah radar untuk sebagian besar platform keamanan dan deteksi.”
Perhatikan bahwa worm terbaru ini mengikuti penemuan worm PgMiner, yang mengeksploitasi kerentanan yang disengketakan di server PostgreSQL yang berjalan di Linux untuk menginstal penambang cryptocurrency.
Mechtinger juga mencatat tren lain: “Pada tahun 2020, kami melihat tren nyata malware Golang yang menargetkan berbagai platform, termasuk Windows, Linux, Mac, dan Android. Kami menilai dengan keyakinan tinggi bahwa ini akan berlanjut di tahun 2021.”
Melalui: BleepingComputer (terbuka di tab baru)