Um novo Stantinko Bot mascarado como httpd voltado para servidores Linux

Os pesquisadores descobriram uma nova variante de um botnet adware e minerador de moedas operado por agentes de ameaça Stantinko que agora tem como alvo os servidores Linux.

Pesquisadores da Intezer descobriram uma nova variante de um botnet de adware e minerador de moedas que é operado por agentes de ameaças Stantinko desde 2012.

O botnet Stantinko foi detectado pela primeira vez pela ESET em 2017, na época em que infectou cerca de meio milhão de computadores em todo o mundo. Os operadores por trás do botnet impulsionaram uma campanha massiva de adware ativa desde 2012, os criminosos visavam principalmente usuários na Rússia, Ucrânia, Bielo-Rússia e Cazaquistão em busca de software pirata.

De acordo com uma nova análise publicada pela Intezer, o trojan Linux mascarado como httpd, que é o servidor de protocolo de transferência de hipertexto Apache comumente usado em servidores Linux. No momento desta análise, a nova versão do Trojan tinha uma taxa de detecção de um no VirusTotal. A amostra, um binário ELF de 64 bits não compactado, foi enviada em 7 de novembro de 2020 da Rússia.

“Identificamos uma nova versão deste trojan Linux mascarado como httpd. httpd é Apache Hypertext Transfer Protocol Server, um programa comumente usado em servidores Linux. A versão da amostra é 2.17, e a versão anterior é 1.2 *. ” leia a análise publicada pelo Intezer.

“Acreditamos que esse malware seja parte de uma campanha mais ampla que tira proveito de servidores Linux comprometidos.”

Após a execução, o Trojan validará uma configuração que está localizada em “/etc/pd.d/proxy.conf” e é entregue junto com o malware

Em seguida, o malware cria um soquete e um listener para aceitar conexões de outros sistemas infectados.

“Assim que um cliente se conecta ao listener, o programa chama a função on_client_connect. Primeiro, ele verifica se o método de solicitação é GET, POST ou NOTIFY. ” continua a análise.

“Se o método de solicitação for GET, o programa responderá com uma resposta HTTP de redirecionamento 301 contendo o  parâmetro redirect_url do arquivo de configuração.”

Se o método de solicitação for HTTP, o proxy passa a solicitação para um servidor controlado pelo invasor, que responde com uma carga apropriada que é encaminhada pelo proxy ao cliente.

Caso o servidor comprometido receba uma solicitação HTTP Get de um cliente não infectado, ele responde com um redirecionamento HTTP 301 para um URL pré-configurado que está especificado no arquivo de configuração.

stantinkos

A nova variante do malware compartilha vários nomes de funções com a versão anterior. Os especialistas também notaram alguns caminhos codificados que são semelhantes aos empregados em campanhas anteriores do Stantinko.

“Stantinko é o mais recente de malware visando servidores Linux para voar sob o radar, ao lado de ameaças como DokiIPStorm e RansomEXX”, conclui o relatório. “Achamos que esse malware faz parte de uma campanha mais ampla que tira proveito de servidores Linux comprometidos.”

do Original em: https://securityaffairs.co/wordpress/111393/malware/stantinkos-linux-variant.html

Newsletter

Insira seu endereço de e-mail abaixo para receber novidades

Deixar uma resposta