Trend Micro 于 2022 年 11 月发现的威胁在所有其他方面几乎没有变化,包括终止竞争性恶意软件、安全软件和部署 Monero (XMR) 加密货币矿工。
研究人员 David Fiser 和 Alfredo Oliveira说:“恶意软件通过更改/etc/crontab 文件实现其持久性,这是一个 UNIX 任务调度程序,在这种情况下,它每 10 分钟从 Pastebin 下载一次。 ”
此步骤通过下载由 XMRig 矿工和基于 Go 的 CHAOS RAT 组成的下一阶段有效载荷来完成。
这家网络安全公司表示,主要下载器脚本和其他有效负载托管在多个位置,以确保该活动保持活跃并继续发生新的感染。
CHAOS RAT 一旦下载并启动,就会将详细的系统元数据传输到远程服务器,同时还具有执行文件操作、截屏、关闭和重新启动计算机以及打开任意 URL 的功能。
“从表面上看,将 RAT 纳入加密货币挖矿恶意软件的感染例程似乎相对较小,”研究人员说。
“然而,考虑到该工具的一系列功能,以及这一演变表明基于云的威胁参与者仍在发展他们的活动这一事实,组织和个人在安全方面保持格外警惕是很重要的。”
