Les experts des réseaux F5 ont découvert un nouveau botnet de crypto-monnaies qui cible les systèmes Linux et se propage à travers le protocole SSH.
Pour infecter des serveurs SSH vulnérables, l’opérateur derrière le botnet nommé PyCryptoMiner, procède par des attaques par force brute. En cas de succès, celui-ci se sert de scripts Python pour l’installation d’un mineur de Monero, un type de crypto-monnaie beaucoup apprécié par les cyber-criminels.
A ce jour les pirates derrière ce botnet auraient touché au moins $60000.
Pour mener à bien ses opérations, l’auteur du botnet a eu recours à des techniques ingénieuses.
Au lieu de fichiers binaires malicieux, il a plutôt utilisé des scripts Python pour la réalisation des opérations. Toute chose qui rend difficile la détection des attaques car contrairement aux fichiers binaires malicieux, les scripts peuvent être facilement obfusqués.
L’autre technique ingénieuse de l’opérateur du botnet est l’utilisation d’un lien PasteBin pour la mise à jour des adresses des serveurs commande et contrôle (C&C).
En effet, les malwares n’ont ordinairement aucun moyen de changer d’adresse de leur serveur C&C dans le cas où celui-ci devenait HS.
L’utilisation d’un lien public prolonge par contre la longévité du botnet. Car, même si les serveurs C&C devenaient Hors Service, une simple mise à jour du lien externe réactiverait le botnet.
Les noms de domaines utilisés par les serveurs C&C du botnet sont tous enregistrés par une même identité numérique nommée ‘Xinqian Rhys’. Cette identité serait liée à plus de 36000 domaines et 264 adresses mails impliqués dans des services pour adulte, des scams, et des paris.
Au moment de la rédaction de cet article, le botnet est Hors Service mais une simple mise à jour du lien PasteBin le réactivera. Les experts de f5 restent donc à l’affût.
To read the original article: