Os pesquisadores descobriram uma nova variante de um botnet adware e minerador de moedas operado por agentes de ameaça Stantinko que agora tem como alvo os servidores Linux.
Pesquisadores da Intezer descobriram uma nova variante de um botnet de adware e minerador de moedas que é operado por agentes de ameaças Stantinko desde 2012.
O botnet Stantinko foi detectado pela primeira vez pela ESET em 2017, na época em que infectou cerca de meio milhão de computadores em todo o mundo. Os operadores por trás do botnet impulsionaram uma campanha massiva de adware ativa desde 2012, os criminosos visavam principalmente usuários na Rússia, Ucrânia, Bielo-Rússia e Cazaquistão em busca de software pirata.
De acordo com uma nova análise publicada pela Intezer, o trojan Linux mascarado como httpd, que é o servidor de protocolo de transferência de hipertexto Apache comumente usado em servidores Linux. No momento desta análise, a nova versão do Trojan tinha uma taxa de detecção de um no VirusTotal. A amostra, um binário ELF de 64 bits não compactado, foi enviada em 7 de novembro de 2020 da Rússia.
“Identificamos uma nova versão deste trojan Linux mascarado como httpd. httpd é Apache Hypertext Transfer Protocol Server, um programa comumente usado em servidores Linux. A versão da amostra é 2.17, e a versão anterior é 1.2 *. ” leia a análise publicada pelo Intezer.
“Acreditamos que esse malware seja parte de uma campanha mais ampla que tira proveito de servidores Linux comprometidos.”
Após a execução, o Trojan validará uma configuração que está localizada em “/etc/pd.d/proxy.conf” e é entregue junto com o malware
Em seguida, o malware cria um soquete e um listener para aceitar conexões de outros sistemas infectados.
“Assim que um cliente se conecta ao listener, o programa chama a função on_client_connect. Primeiro, ele verifica se o método de solicitação é GET, POST ou NOTIFY. ” continua a análise.
“Se o método de solicitação for GET, o programa responderá com uma resposta HTTP de redirecionamento 301 contendo o parâmetro redirect_url do arquivo de configuração.”
Se o método de solicitação for HTTP, o proxy passa a solicitação para um servidor controlado pelo invasor, que responde com uma carga apropriada que é encaminhada pelo proxy ao cliente.
Caso o servidor comprometido receba uma solicitação HTTP Get de um cliente não infectado, ele responde com um redirecionamento HTTP 301 para um URL pré-configurado que está especificado no arquivo de configuração.
A nova variante do malware compartilha vários nomes de funções com a versão anterior. Os especialistas também notaram alguns caminhos codificados que são semelhantes aos empregados em campanhas anteriores do Stantinko.
“Stantinko é o mais recente de malware visando servidores Linux para voar sob o radar, ao lado de ameaças como Doki, IPStorm e RansomEXX”, conclui o relatório. “Achamos que esse malware faz parte de uma campanha mais ampla que tira proveito de servidores Linux comprometidos.”
do Original em: https://securityaffairs.co/wordpress/111393/malware/stantinkos-linux-variant.html
