Emotet er dette års store ondsindet trussel mod dine brugere
Bank trojan viste botnet tegner sig for næsten to-tredjedele af alle malware nyttelast leveret af e-mail – med ondsindede url ‘ er stillede langt mere end weaponised vedhæftede filer.
En ny botnet gør runder af misbrug af Android Debug Bridge (ADB) og SSH til at slavebinde nye Android-enheder til netværket.
Botnet-malware, som observeret af Trend Micro, der har spredt sig til 21 lande, og i øjeblikket er mest udbredt i Syd-Korea.
Mens mange Android-enheder har ADB udvikler funktion og kommando-linje værktøj deaktiveret som standard, da det bruges til at fejlrette apps, og det er ikke en funktion, en gennemsnitlig Android-bruger, kræver nogle enheder, der sender med denne funktion aktiveret, og det kan åbne op for smartphones og tablets til at udnytte.
Forskerne siger, at de botnet, der har specialiseret sig i cryptocurrency minedrift, misbrug, det faktum, at open ADB-porte har ikke godkendelse stiller som en standardindstilling. I betragtning af en åben dør til at gå igennem, på en måde svarende til den Satori botnet, den nye malware vil spredes fra inficerede vært til enhver sårbare system, som har tidligere delt en SSH-forbindelse.
Se også: Udsat Docker værter kan udnyttes til angreb cryptojacking
I begyndelsen af infektionen kæde, IP-adresse 45[.]67[.]14[.]179 vil oprette forbindelse til en enhed, der kører ADB og bruger ADB kommando shell til at justere i systemet, der arbejder mappe til “/data/local/tmp.” Denne ændring er baseret på det faktum, at filer med .tmp har ofte standard udførelse tilladelser.
Botnet vil derefter udføre en række scanninger og vil analysere, om target-systemet er en honeypot eller ikke — en indikation af sikkerheden forskere venter i kulissen til at reverse engineer den trussel — samt til at afgøre, hvad slags styresystem er på plads.
En kommando, wget, er så lanceret til at downloade malware nyttelast. Hvis wget ikke, krøller er brugt. En ekstra kommando, chmod 777 et.sh, er udført for at ændre rettighedsindstillinger af ondsindet payload, og derefter yderligere kommandoer er pålagt at fjerne spor af malware dropper.
Nyttelasten i sig selv, når først trukket fra hackerens server, giver botnet for at vælge en af tre mulige minearbejdere afhængigt af offeret system producent, fabrik, arkitektur, processor type, og hardware.
Alle tre minearbejdere er hostet på det samme domæne.
CNET: presidential Emergency alert tekster kan være forfalsket, siger forskere
Et interessant træk af malware, er evnen til at sætte HugePages at øge systemets evne til at understøtte sider, der er større end dem, der normalt er tilladt som standard. Ved at gøre dette, kan dette potentielt rampe op, hvor meget ulovlig cryptocurrency minedrift kan udføres.
Desuden, malware vil ændre enhedens hosts fil til at blokere konkurrerende minearbejdere.
Formering system botnet-bruger, er ikke noget nyt, men kan være svært at forhindre. Malware spreder sig via SSH, og ifølge Trend Micro, “ethvert system, der har forbindelse til den oprindelige offeret at blive angrebet via SSH er sandsynligt, at der har været nævnt som en “kendt” enhed på dens operativsystem.”
Dette kan omfatte andre mobile enheder eller Internet of Things (IoT) – produkter.
“At være en kendt enhed betyder, at de to systemer kan kommunikere med hinanden uden yderligere godkendelse efter den initiale nøgleudveksling, hvert system betragter den anden som sikkert,” siger forskerne. “Tilstedeværelsen af en spredning mekanisme, der kan betyde, at denne malware kan udnytte den udbredte processen med at lave SSH-forbindelser.”
TechRepublic: Hvordan man reagerer på phishing-e-mails: 6 trin til G-Suite admins
Efter installationen er afsluttet og en minearbejder, der er hårdt på arbejde, malware vil forsøge at sprede sig til andre enheder, og vil også fortsætte med at slette sin nyttelast i et forsøg på at flyve under radaren.
Truslen af mobil malware har været støt stigende og trussel aktører, der er i konstant udvikling deres teknikker til at på kompromis med vores udstyr.
I de seneste uger har endnu en cyberattack gruppe, kendt som Outlaw, blev spottet spredning en cryptocurrency minedrift botnet på tværs af Kina gennem brute-force-angreb mod servere. Men en undersøgelse af malware kode afslørede en så-of-endnu uudnyttede Android APK, som kan tyde på Android-enheder vil være på botnet ‘ s mål listen i fremtiden.
Tidligere og relaterede dækning
Facebook lancerer Libra cryptocurrency: en Bitcoin killer?
Fiskedamme forklædt tyveri af olie felt magt i cryptocurrency minedrift ordning
Outlaw hackere vende tilbage med cryptocurrency minedrift botnet
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Blokkæden
Sikkerhed-TV
Data Management
CXO
Datacentre