Scoperto di recente un nuovo malware, scritto in Golang. Pare abbia capacità di auto-diffusione e stia diffondendo il cryptominer XMRig su server Windows e Linux. Rilevato per la prima volta a inizio di dicembre dello scorso anno, l’attacco utilizza tre file: uno script dropper (bash o powershell), un worm binario Golang e un XMRig Miner, tutti ospitati sullo stesso server di command and control (C2). Il malware ha anche la capacità, tipica dei worm, di diffondersi in altri server (per esempio MySQL, Tomcat, Jenkins e WebLogic) attraverso il brute forcing delle password (soprattutto quelle deboli e di default).
I ricercatori di cybersecurity di Intezer hanno rivelato in un post pubblicato sul proprio blog, che il worm si diffonde in tutta la rete al fine di rilasciare XMRig Miner – un miner di criptovaluta Monero – su larga scala. L’attacco è rivolto quindi sia ai server Windows che a quelli Linux, e il malware può muoversi facilmente da una piattaforma all’altra. Si rivolge a servizi pubblici come MySQL, ma anche a dashboard di amministrazione di Tomcat e Jenkins che hanno password deboli. Molti elementi lasciano supporre che sia un malware in costante aggiornamento e sottoposto a controllo diretto. Il server C2 è utilizzato per ospitare lo script bash o lo script che rilascia il PowerShell (a seconda della piattaforma target), un binary worm scritto in Golang, e il minatore XMRig impiegato per estrarre in modo abusivo la criptovaluta Monero non rintracciabile sui dispositivi infetti.
“Il worm si diffonde su altri computer mediante la ricerca e l’utilizzo di attacchi brute force su servizi di MySql, Tomcat e Jenkins utilizzando un mix di password spraying e un elenco di credenziali codificate. Una volta penetrato in uno dei server target, il malware distribuirà lo script loader (ld.sh per Linux e ld.ps1 per Windows) e rilascerà sia il minatore XMRig che il worm binario. Il malware interrompe automaticamente la sua attività e si auto-elimina nel caso in cui rilevi che i sistemi infetti siano in ascolto sulla porta 52013. Se la porta non è in uso, il worm aprirà il proprio socket di rete. La circostanza per cui il codice del worm sia quasi identico ai malware PE ed ELF (con quest’ultimo considerato non rilevato su VirusTotal) dimostra che le minacce Linux sono ancora sottovalutate dalla maggior parte delle piattaforme di sicurezza e rilevamento, hanno sottolineato i ricercatori.”
Il numero di sistemi potenzialmente attaccabili, infatti, è enorme: secondo i dati forniti da Shodan vi sono 5,5 milioni e mezzo di server MySQL, Tomcat, Jenkins e WebLogic collegati a Internet. Se anche solo lo 0,1 per cento dei sistemi fosse soggetto all’attacco, risulterebbe disponibile un’enorme potenza computazionale da usare per il mining di criptovalute e la generazione di denaro.
Le organizzazioni (pubbliche e private) dovrebbero monitorare i loro sistemi per individuare le vulnerabilità e correggerle così in tempo utile, controllare qualsiasi cambiamento all’interno dei server, e applicare policy rigide ed efficaci in tema di password. Il tooling di analisi del malware di Golang è ancora un po’ in ritardo per via della crescita osservata recentemente nell’utilizzo di Golang per la creazione di malware.
Come proteggersi quindi? Limitare i login e utilizzare password complesse su tutti i servizi connessi a Internet, così come l’autenticazione a due fattori, ove possibile. Ulteriori accorgimenti sono l’aggiornamento costante dei software (installando tutte le ultime patch rilasciate) e il controllo frequente sui server. Inoltre, se necessario, è consigliabile affidarsi a servizi di Cyber Threat Intelligence per rilevare la possibile presenza di sistemi già infettati sul perimetro.
