Une attaque de minage de crypto-monnaie ciblant le système d’exploitation Linux impliquait également l’utilisation d’un cheval de Troie d’accès à distance (RAT) open source surnommé LE CHAOS.
La menace, qui a été repérée par Trend Micro en novembre 2022, reste pratiquement inchangée dans tous les autres aspects, y compris lorsqu’il s’agit de mettre fin aux logiciels malveillants concurrents, aux logiciels de sécurité et au déploiement du mineur de crypto-monnaie Monero (XMR).
« Le logiciel malveillant atteint sa persistance en altérant /etc/crontab fichierun planificateur de tâches UNIX qui, dans ce cas, se télécharge toutes les 10 minutes depuis Pastebin », les chercheurs David Fiser et Alfredo Oliveira a dit.
Cette étape est réussie en téléchargeant les charges utiles de la prochaine étape qui se composent du mineur XMRig et du CHAOS RAT basé sur Go.
La société de cybersécurité a déclaré que le script de téléchargement principal et d’autres charges utiles sont hébergés à plusieurs endroits pour s’assurer que la campagne reste active et que de nouvelles infections continuent de se produire.
Le CHAOS RAT, une fois téléchargé et lancé, transmet des métadonnées système détaillées à un serveur distant, tout en offrant des capacités pour effectuer des opérations sur les fichiers, prendre des captures d’écran, éteindre et redémarrer l’ordinateur et ouvrir des URL arbitraires.
« En surface, l’incorporation d’un RAT dans la routine d’infection d’un malware d’extraction de crypto-monnaie peut sembler relativement mineure », ont déclaré les chercheurs.
« Cependant, étant donné la gamme de fonctions de l’outil et le fait que cette évolution montre que les acteurs de la menace basée sur le cloud font encore évoluer leurs campagnes, il est important que les organisations et les individus restent très vigilants en matière de sécurité. »