Des chercheurs en sécurité ont découvert un nouveau malware qui installe un programme légitime de minage de crypto-monnaie sur des serveurs Windows et Linux mal protégés. Avigayil Mechtinger d'Intezer, spécialiste de l'analyse des logiciels malveillants, suit le ver multiplateforme qui installe XMRig Miner pour exploiter la crypto-monnaie Monero depuis début décembre. Selon Mechtinger, le ver cible le public contre les installations MySQL, Tomcat et Jenkins qui ont des mots de passe faibles.
Actif et mutant
Expliquant le flux de travail du ver, Mechtinger écrit que le ver recherche les services Tomcat, Jenkins et MySQL avec des ports ouverts, puis s'introduit brutalement. Il fournit ensuite un script de téléchargement au serveur compromis qui supprimera et exécutera XMRig Miner. Une version antérieure du ver a également tenté d'exploiter la dernière vulnérabilité WebLogic (CVE-2020-14882). Au cours de l'analyse de Mechtinger, l'attaquant a continué à mettre à jour le ver sur le serveur Command and Control (C&C). Cela indique "qu'il est actif et pourrait pointer vers des services supplémentaires faiblement configurés dans les futures mises à jour", écrit-il.
![captura de pantalla del análisis de Intezer]()
(Crédit image : Intezer) Dans son rapport, Mechtinger note que le code du ver est "presque identique" pour les cibles Windows et Linux, ce qui, selon elle, "démontre que les menaces Linux ne sont toujours pas détectées par la plupart des plateformes de sécurité et de détection". Notez que ce dernier ver fait suite à la découverte du ver PgMiner, qui exploitait une vulnérabilité contestée dans les serveurs PostgreSQL exécutant Linux pour installer un mineur de crypto-monnaie. Mechtinger souligne également une autre tendance : « En 2020, nous avons constaté une tendance notable des logiciels malveillants Golang ciblant différentes plates-formes, notamment Windows, Linux, Mac et Android. Nous croyons avec une grande confiance que cela se poursuivra en 2021 ". Via: BleepingComputer