Un logiciel malveillant évasif récemment découvert exploite le Secure Shell (SSH) protocole cryptographique pour entrer dans des systèmes ciblés dans le but d’extraire de la crypto-monnaie et de mener des attaques par déni de service distribué (DDoS).
Doublé KmsdBotName par l’Akamai Security Intelligence Response Team (SIRT), le logiciel malveillant basé sur Golang a été trouvé ciblant une variété d’entreprises allant des jeux aux marques de voitures de luxe en passant par les entreprises de sécurité.
« Le botnet infecte les systèmes via une connexion SSH qui utilise des identifiants de connexion faibles », a déclaré Larry W. Cashdollar, chercheur chez Akamai. a dit. « Le logiciel malveillant ne reste pas persistant sur le système infecté afin d’échapper à la détection. »
Le malware tire son nom d’un exécutable nommé « kmsd.exe » qui est téléchargé à partir d’un serveur distant après une compromission réussie. Il est également conçu pour prendre en charge plusieurs architectures, telles que Winx86, Arm64, mips64 et x86_64.
KmsdBot est livré avec des capacités pour effectuer des opérations d’analyse et se propager en téléchargeant une liste de combinaisons de nom d’utilisateur et de mot de passe. Il est également équipé pour contrôler le processus d’extraction et mettre à jour les logiciels malveillants.
Akamai a déclaré que la première cible observée du logiciel malveillant était une société de jeux nommée CinqMun mod multijoueur pour Grand Theft Auto V qui permet aux joueurs d’accéder à des serveurs de jeu de rôle personnalisés.
La Attaques DDoS observés par la société d’infrastructure Web comprennent Attaques de couche 4 et de couche 7dans lequel un flot de requêtes TCP, UDP ou HTTP GET est envoyé pour submerger les ressources d’un serveur cible et entraver sa capacité à traiter et à répondre.
« Ce botnet est un excellent exemple de la complexité de la sécurité et de son évolution », a déclaré Cashdollar. « Ce qui semble avoir commencé comme un bot pour une application de jeu s’est transformé en attaque de grandes marques de luxe. »
Les résultats surviennent alors que les logiciels vulnérables sont de plus en plus utilisés pour déployer des mineurs de crypto-monnaie, passant de 12 % au premier trimestre 2022 à 17 % au troisième trimestre, selon les données de télémétrie de Kaspersky. Près de la moitié des échantillons analysés de logiciels de minage malveillants (48 %) minent secrètement Monero (XMR).
« Il est intéressant de noter que le pays le plus ciblé au troisième trimestre 2022 était l’Éthiopie (2,38%), où il est illégal d’utiliser et d’exploiter des crypto-monnaies », a déclaré la société russe de cybersécurité. a dit. « Le Kazakhstan (2,13%) et l’Ouzbékistan (2,01%) suivent en deuxième et troisième place. »