به گزارش  حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، این بدافزار به جستجو و از بین بردن سایر بدافزارهای لینوکس و استخراج‌کننده‌های موجود در دستگاه آسیب‌دیده نیز می‌پردازد.

این اسکریپت مخرب استخراج ارز دیجیتال در یکی ازhoneypot های Trend Micro شناسایی شده است و بر اساس بررسی‌ها، برخی قسمت‌های کد آن با بدافزار Xbash مشترک بوده و ساختار آن بسیار نزدیک به استخراج‌گر ارز دیجیتال KORKERDS است. این نسخه از Korkerds، از روت‌کیت‌ها برای پنهان‌کردن خود استفاده نمی‌کند، بلکه استخراج‌گر Stratum XMR-Stak را دانلود می‌کند که از CPU یا GPU سیستم برای یافتن ارزهایCryptonight استفاده می‌کند.

اسکریپت اولیه یک فایل crontab را به عنوان بخشی از مرحله اول نفوذ دانلود می‌کند که برای اجرای فاز بعدی که شامل سه تابع است، استفاده خواهد شد:
• تابع B، تمام بدافزارها و استخراج‌گرهای ارزدیجیتال و تمام خدمات مرتبط با بدافزارها را از بین می‌برد. این تابع همچنین دایرکتوری‌ها و فایل‌های جدیدی ساخته و فرآیندهای مرتبط با آدرس‌های IP شناسایی شده را متوقف می‌کند.
• تابع D کد باینری استخراج‌گر ارز دیجیتال را دانلود کرده و آن را اجرا می‌کند.
• تابع C اسکریپتی را دانلود کرده و آن را در فایل /usr/local/bin/dns ذخیره می‌کند سپسcrontab جدیدی ایجاد می‌کند تا این اسکریپت را در ساعت ۱ صبح فراخوانی کند.

در این مرحله، بدافزار برای از بین بردن رد خود از پاک کردن لاگ سیستم اطمینان حاصل، و همچنین با استفاده از فایل‌هایcrontab جاسازی شده، از حذف شدن خود پس از راه اندازی مجدد و یا حذف فایل‌ها جلوگیری می‌کند. مرحله دوم نفوذ این بدافزار از چندین دوربین IP و سرویس‌های وب پورت TCP ۸۱۶۱ آغاز می‌شود. تفاوت اصلی عملکرد این بدافزار و KORKERDS این است که در این بدافزار، اسکریپت جدید فقط یک فایل crontab را وارد می‌کند که کل کد و استخراج‌گر را در بر دارد، در حالی که KORKERDS، crontab را به طور مستقیم ذخیره می‌کند.

نشانه‌های آلودگی (IoC):
هش:

• ۲f۷ff۵۴b۶۳۱dd۰af۳a۳d۴۴f۹f۹۱۶dbde۵b۳۰cdbd۲ad۲a۵a۰۴۹bc۸f۲d۳۸ae۲ab۶
• d۹۳۹۰bbbc۶e۳۹۹a۳۸۸ac۶ed۶۰۱db۴۴۰۶eeb۷۰۸f۳۸۹۳a۴۰f۸۸۳۴۶ee۰۰۲۳۹۸۹۵۵c

انتهای پیام/