Một phần mềm quảng cáo và mạng botnet đào tiền xu nhắm mục tiêu đến Nga, Ukraine, Belarus và Kazakhstan ít nhất kể từ năm 2012 hiện đã đặt tầm ngắm trên các máy chủ Linux để bay dưới radar.
Theo một phân tích mới được công bố bởi Intezer hôm nay và được chia sẻ với The Hacker News, trojan giả dạng HTTPd, một chương trình thường được sử dụng trên các máy chủ Linux và là phiên bản mới của phần mềm độc hại thuộc về tác nhân đe dọa được theo dõi là Stantinko.
Trở lại năm 2017, các nhà nghiên cứu ESET đã trình bày chi tiết về một botnet phần mềm quảng cáo lớn hoạt động bằng cách lừa những người dùng đang tìm kiếm phần mềm vi phạm bản quyền tải xuống các tệp thực thi độc hại được ngụy trang dưới dạng torrent để cài đặt các tiện ích mở rộng trình duyệt giả mạo thực hiện việc đưa vào quảng cáo và gian lận nhấp chuột.
Chiến dịch bí mật, kiểm soát một đội quân khổng lồ gồm nửa triệu bot, kể từ đó đã nhận được một bản nâng cấp đáng kể dưới dạng mô-đun khai thác tiền điện tử với mục đích thu lợi nhuận từ các máy tính dưới sự kiểm soát của họ.
Mặc dù Stantinko theo truyền thống là một phần mềm độc hại của Windows, việc mở rộng bộ công cụ của họ để nhắm mục tiêu vào Linux đã không được chú ý, với việc ESET quan sát thấy một proxy trojan Linux được triển khai thông qua các tệp nhị phân độc hại trên các máy chủ bị xâm nhập.
Nghiên cứu mới nhất của Intezer cung cấp thông tin chi tiết mới về proxy Linux này, cụ thể là phiên bản mới hơn (v2.17) của cùng một phần mềm độc hại (v1.2) có tên “httpd”, với một mẫu phần mềm độc hại được tải lên VirusTotal vào ngày 7 tháng 11 từ Nga.
Khi thực thi, “httpd” xác thực một tệp cấu hình nằm trong “etc / pd.d / proxy.conf” được phân phối cùng với phần mềm độc hại, theo dõi nó bằng cách tạo một ổ cắm và một bộ lắng nghe để chấp nhận các kết nối từ những gì các nhà nghiên cứu cho là khác hệ thống bị nhiễm.
Yêu cầu HTTP Post từ một máy khách bị nhiễm sẽ mở đường cho proxy chuyển yêu cầu đến máy chủ do kẻ tấn công kiểm soát, máy chủ này sau đó sẽ phản hồi bằng một trọng tải thích hợp được proxy chuyển tiếp trở lại máy khách.
Trong trường hợp máy khách không bị nhiễm gửi yêu cầu HTTP Get đến máy chủ bị xâm phạm, chuyển hướng HTTP 301 đến URL được định cấu hình trước được chỉ định trong tệp cấu hình sẽ được gửi lại.
Tuyên bố rằng phiên bản mới của phần mềm độc hại chỉ hoạt động như một proxy, các nhà nghiên cứu của Intezer cho biết biến thể mới chia sẻ một số tên chức năng với phiên bản cũ và một số đường dẫn được mã hóa cứng mang những điểm tương đồng với các chiến dịch Stantinko trước đó.
“Stantinko là phần mềm độc hại mới nhất nhắm mục tiêu vào các máy chủ Linux để bay theo radar, cùng với các mối đe dọa như Doki, IPStorm và RansomEXX“, công ty cho biết.” Chúng tôi cho rằng phần mềm độc hại này là một phần của chiến dịch rộng lớn hơn nhằm lợi dụng các máy chủ Linux bị xâm phạm. “
