Un nouveau malware, RubbyMiner, cible les serveurs Windows et Linux pour extraire la crypto-monnaie

Des chercheurs en sécurité ont découvert un malware qui a commencé à se propager en ligne sous le nom de RubyMiner. Ce malware est un mineur de crypto-monnaie exploitant des serveurs web obsolètes.

Les principaux pays ciblés par les attaquants sont les États-Unis, le Royaume-Uni, l'Allemagne, la Norvège et la Suède. Au 11 janvier, environ 700 serveurs ont été compromis avec succès et ont rejoint le pool minier de hackers.

Les attaquants ciblent les serveurs Linux et Windows obsolètes en utilisant un outil, p0f (Passive OS Fingerprinting), de détection de systèmes d’exploitation passif qui analyse les trames transitant sur le réseau et les compare avec une base de données des caractéristiques de chaque OS (prise d’empreintes) afin d’en retrouver l’OS correspondant. Ce scan permet d’identifier les serveurs Linux et Windows exécutant des logiciels obsolètes.

Après l’identification des serveurs Linux et Windows vulnérables non patchés exécutant un logiciel obsolète, les attaquants exploitent plusieurs anciennes vulnérabilités et utilisent une méthode POST pour déployer le mineur open source XMrig.

Les principaux exploits publics utilisés par les attaquants concernent:

  • Une vulnérabilité d’exécution de code sur Ruby on Rails (CVE-2013-0156)
  • Des vulnérabilités d’exécution de code sur PHP (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE) (CVE-2013-4878)
  • Une vulnérabilité de divulgation de code source sur le serveur web Microsoft IIS (CVE-2005-2678)

En se basant sur des données collectées à partir de leurs "honeypot" et du code d’exploit contenant une série de commandes shell, les chercheurs ont décrit le scénario d'infection RubyMiner ciblant les systèmes Linux :

  • Les attaquants effacent tous les cron (programme d’exécution automatique des scripts) et ajoutent un nouveau cron qui télécharge un script hébergé en ligne dans un fichier robots.txt de différents domaines. Le script télécharge et installe une version modifiée de l'application légitime XMRig Monero.

Les chercheurs ont aussi détecté des attaques ciblant des serveurs Windows IIS, mais ils n'ont pas encore réussi à obtenir une copie de la version Windows de ce logiciel malveillant.