Un malware evasivo scoperto di recente sfrutta il protocollo crittografico Secure Shell (SSH) per entrare in sistemi mirati con l’obiettivo di estrarre criptovalute ed eseguire attacchi DDoS (Distributed Denial-of-Service). Soprannominato KmsdBot dal Security Intelligence Response Team (SIRT) di Akamai, il malware basato su Golang è stato individuato come bersaglio di una serie di aziende che vanno dai giochi d’azzardo ai marchi di auto di lusso alle società di sicurezza.
“La botnet infetta i sistemi tramite una connessione SSH che utilizza credenziali di accesso deboli”, ha dichiarato Larry W. Cashdollar, ricercatore di Akamai. “Il malware non rimane persistente sul sistema infetto per eludere il rilevamento”. Il malware prende il nome da un eseguibile chiamato “kmsd.exe” che viene scaricato da un server remoto dopo una compromissione riuscita. È inoltre progettato per supportare diverse architetture, come Winx86, Arm64, mips64 e x86_64. KmsdBot è in grado di eseguire operazioni di scansione e di propagarsi scaricando un elenco di combinazioni di nome utente e password. È anche in grado di controllare il processo di estrazione e di aggiornare il malware. Akamai ha dichiarato che il primo obiettivo osservato del malware è stata un’azienda di giochi chiamata FiveM, una mod multiplayer per Grand Theft Auto V che consente ai giocatori di accedere a server di gioco di ruolo personalizzati. Gli attacchi DDoS osservati dalla società di infrastrutture web comprendono attacchi di livello 4 e 7, in cui viene inviata una marea di richieste TCP, UDP o HTTP GET per sovraccaricare le risorse di un server bersaglio e ostacolarne la capacità di elaborazione e risposta.
“Questa botnet è un ottimo esempio della complessità della sicurezza e della sua evoluzione”, ha dichiarato Cashdollar. “Quello che sembra essere iniziato come un bot per un’applicazione di gioco si è trasformato in un attacco a grandi marchi di lusso”. I risultati arrivano mentre il software vulnerabile viene sempre più utilizzato per distribuire minatori di criptovalute, passando dal 12% del primo trimestre 2022 al 17% del terzo trimestre, secondo i dati telemetrici di Kaspersky. Quasi la metà dei campioni analizzati di software di mining dannoso (48%) estrae segretamente Monero (XMR). “È interessante notare che il Paese più bersagliato nel terzo trimestre del 2022 è stato l’Etiopia (2,38%), dove è illegale utilizzare e minare criptovalute”, ha dichiarato la società russa di cybersicurezza. “Il Kazakistan (2,13%) e l’Uzbekistan (2,01%) seguono al secondo e terzo posto”.
