Si diffonde con uno script loader ld.sh per Linux e ld.ps1 per Windows
New York – E stato scoperto appena un mese fa il nuovo malware scritto in Golang che sta diffondendo il cryptominer XMRig su server Windows e Linux. Nell’attaccare le sue vittime usa tre file: uno script dropper (bash o powershell), un worm binario Golang e un XMRig Miner, tutti ospitati sullo stesso server di command and control (C2). Secondo gli analisti informatici di Intezer il worm si sta diffondendo in tutta la rete per rilasciare lo XMRig Miner della cripto-valuta Monero. Una volta riuscito a penetrare in un server target, il tremendo malware diffonde sia uno script loader ld.sh per Linux e ld.ps1 per Windows, sia il minatore XMRig che il worm binario. Per di più il malware interrompe la sua attività in automatico e si auto-elimina laddove rilevi che i sistemi infetti siano in ascolto sulla porta 52013. E’ stato rilevato che i sistemi potenzialmente aggredibili è molto elevato, tanto che per Shodan sarebbero 5,5 milioni e mezzo i server MySQL, Tomcat, Jenkins e WebLogic collegati alla rete Internet e seppur lo 0,1% di essi sia potenzialmente attaccabile, una potenza enorme computazionale è fruibile per il mining di cripto-valute da parte dei pirati informatici. Ancora una volta è stato sottolineato dagli esperti che le organizzazioni pubbliche e private dovrebbero monitorare i loro sistemi per individuare vulnerabilità ed eventualmente correggerle rapidamente.