Threat Database Malware Malware Xanthe

Malware Xanthe

El crecimiento de los entornos y servicios en la nube ha cambiado enormemente el panorama tecnológico de muchas maneras. Uno de los aspectos que no debe pasarse por alto es la seguridad. Si bien durante un período considerable, los sistemas de escritorio de Windows fueron los principales objetivos de los ciberdelincuentes, y aún lo son, también se ha producido un cambio significativo. De hecho, cada vez más hosts instalados en Internet ejecutan Linux y son una presa mucho más fácil debido a los esfuerzos adicionales que requieren al desarrollar sus medidas de seguridad en comparación con los sistemas Windows internos. Hasta ahora, en 2020, los investigadores de seguridad de la información han observado múltiples campañas dirigidas precisamente a dichos sistemas, siendo una de las últimas Xanthe Malware.

Xanthe Malware es una botnet multimodular y una amenaza de malware que explota las instalaciones de la API de Docker configuradas incorrectamente para infectar sistemas Linux. Una vez dentro, Xanthe implementa una variante del popular malware de criptominería XMRig Monero y recopila credenciales y certificados del lado del cliente, que utiliza para propagarse.

El archivo inicial que se coloca en el sistema de destino es un script de descarga llamado pop.sh que tiene la tarea de descargar la ejecución del módulo principal de la botnet: xanthe.sh. Una vez implementado, Xanthe elimina cuatro módulos de malware adicionales, cada uno responsable de una funcionalidad dañina diferente:

  • libprocesshider.so: un módulo de ocultación de procesos
  • xesa.txt: un script de shell que deshabilita otras amenazas de malware de criptominería, así como el software de seguridad.
  • fczyo: un script de shell encargado de eliminar los criptomineros competidores dirigidos a Docker
  • config.json: el binario de la variante cripto-minero XMRig Monero

El módulo principal intenta extenderse a otros sistemas, tanto conectados a redes locales como externas. Para ello, Xanthe obtiene la dirección IP del host comprometido conectándose a icanhazip.com. Luego, la amenaza de malware recolecta certificados del lado del cliente aprovechando la utilidad 'buscar'. Cuando se han obtenido todas las claves, Xanthe busca puertos TCP conocidos, hosts y las contraseñas de esos hosts. Se utiliza un proceso de bucle que se repite en todas las combinaciones posibles de la información obtenida en un intento de conectarse a hosts remotos. Si tiene éxito, Xanthe descarga y ejecuta su módulo principal en el sistema remoto a través de líneas de comando.

Tendencias

Mas Visto

Cargando...