I ricercatori di Juniper Threat Lab hanno scoperto un nuovo worm che utilizza GitHub e Pastebin per ospitare il codice dei componenti e dispone di almeno 12 diversi moduli di attacco disponibili. Soprannominato Gitpaste-12 a causa dell’utilizzo di GitHub, Pastebin e 12 modi per compromettere il sistema, il malware prende di mira i server x86 basati su Linux e i dispositivi IoT Linux basati su ARM e MIPS.
La prima fase dell’attacco è la compromissione del sistema. Questo worm ha 12 moduli di attacco noti e altri in fase di sviluppo. Cercherà di utilizzare exploit noti per compromettere i sistemi e potrebbe anche tentare di forzare le password.
Dopo aver compromesso un sistema, il malware imposta un cron job che scarica da Pastebin, che a sua volta chiama lo stesso script e lo esegue di nuovo ogni minuto. Questo è presumibilmente un meccanismo mediante il quale gli aggiornamenti ai cron job possono essere inviati alla botnet, si legge nel report dei ricercatori.
Lo script della shell principale caricato durante l’attacco inizia a scaricare ed eseguire altri componenti di Gitpaste-12. Innanzitutto, scarica e imposta cron job, che periodicamente scarica ed esegue script da Pastebin; successivamente, viene scaricato da GitHub e lo esegue.
Il malware inizia preparando l’ambiente, quindi spogliando il sistema delle sue difese, incluse le regole del firewall, selinux, apparmor, oltre al comune software di monitoraggio e prevenzione degli attacchi.
Un’ulteriore capacità del malware è la capacità di eseguire miner per criptovaluta monero.
Il malware Gitpaste-12 contiene anche uno script che lancia attacchi contro altre macchine, nel tentativo di replicarsi e diffondersi e utilizza 11 vulnerabilità e un brute forcer telnet per diffondersi.
https://blogs.juniper.net/en-us/threat-research/gitpaste-12
