CryptoSink

Im Jahr 2019 entdeckten Malware-Forscher eine illegale Cryptocurrency-Mining-Kampagne namens CryptoSink. Die Angreifer scheinen eine bekannte Sicherheitslücke auszunutzen, um die Zielsysteme zu gefährden. Der im CryptoSink-Vorgang verwendete Exploit heißt "CVE-2014-3120" und bezieht sich auf eine ältere Version der Elasticsearch-Anwendung. Das betreffende Programm ist mit Windows- und Linux-Systemen kompatibel. Aufgrund dieser Tatsache haben die Betreiber der CryptoSink-Kampagne ihre Bedrohung mit beiden Betriebssystemen kompatibel gemacht.

Ausdauer gewinnen

Um das Zielsystem zu gefährden, wird die CryptoSink-Bedrohung eine modifizierte Variante des berüchtigten XMRig Cryptocurrency Miner einfügen . Je nachdem, ob die Bedrohung auf einem Windows- oder einem Linux-System bereitgestellt wird, wird die Persistenz auf dem Host unterschiedlich. Um die Persistenz auf einem Windows-Computer zu gewährleisten, verwendet die CryptoSink-Bedrohung mehrere grundlegende Tricks. Wenn die CryptoSink-Bedrohung jedoch ein Linux-System gefährdet, müssen viel komplexere Techniken verwendet werden, um die Persistenz zu erhöhen. Sobald es der CryptoSink-Malware gelingt, ein Linux-System zu infizieren, werden mehrere beschädigte Nutzdaten abgerufen, die den Angreifern helfen, Backdoor-Zugriff auf den Computer zu erhalten. Es wird auch berichtet, dass die CryptoSink-Bedrohung den Befehl 'rm' ändert. Dies bedeutet, dass jedes Mal, wenn dieser Befehl verwendet wird, die CryptoSink-Malware ausgeführt wird. Auf diese Weise wird die Bedrohung erneut bereitgestellt, selbst wenn der Benutzer die mit der CryptoSink-Malware-Aktivität verknüpften Dateien entfernt, sobald er den Befehl 'rm' verwendet.

Konkurrenten entfernen

Der Miner wurde für die Monero-Kryptowährung entwickelt. Die CryptoSink-Bedrohung kann auch erkennen, ob auf dem infizierten Computer ein anderer Cryptocurrency Miner vorhanden ist. Wenn konkurrierende Bergleute erkannt werden, versucht die CryptoSink-Bedrohung, ihre Aktivitäten zu stoppen. Die CryptoSink-Malware entfernt jedoch nicht einfach andere Miner, die das System möglicherweise gefährdet haben. Es stellt sicher, dass der Datenverkehr sofort zu '127.1.1.1' umgeleitet wird, wenn das System versucht, eine Verbindung zu einer vorkonfigurierten Liste von Mining-Pools herzustellen. Dies verhindert, dass die konkurrierenden Bergleute eine Verbindung zu ihrem festgelegten Bergbaupool herstellen.

Der CryptoSink-Vorgang ist sehr weit fortgeschritten, und das Entfernen des Miners von einem kompromittierten Host kann sich als ziemlich schwierig erweisen. Stellen Sie sicher, dass eine echte Anti-Malware-Lösung installiert ist, die Sie bei der Beseitigung der CryptoSink-Bedrohung unterstützt.

Im Trend

Am häufigsten gesehen

Wird geladen...