Linux işletim sistemini hedef alan bir kripto para madenciliği saldırısı, CHAOS olarak adlandırılan açık kaynaklı bir uzaktan erişim truva atının (RAT) kullanımını da içeriyordu.
Trend Micro tarafından Kasım 2022’de tespit edilen tehdit, rakip kötü amaçlı yazılımları, güvenlik yazılımlarını sonlandırmak ve Monero (XMR) kripto para madenciliğini devreye almak da dahil olmak üzere diğer tüm yönlerde neredeyse hiç değişmedi.
Araştırmacılar David Fiser ve Alfredo Oliveira, “Kötü amaçlı yazılım kalıcılığını, bu durumda Pastebin’den her 10 dakikada bir indiren bir UNIX görev zamanlayıcısı olan /etc/crontab dosyasını değiştirerek elde ediyor” dedi.
Bu adım, XMRig madencisi ve Go tabanlı CHAOS RAT’tan oluşan sonraki aşama yüklerinin indirilmesiyle başarılır.
Siber güvenlik firması, kampanyanın aktif kalmasını ve yeni enfeksiyonların meydana gelmeye devam etmesini sağlamak için ana indirici komut dosyasının ve diğer yüklerin birden çok yerde barındırıldığını söyledi.
CHAOS RAT, bir kez indirilip başlatıldığında, ayrıntılı sistem meta verilerini uzak bir sunucuya iletir ve aynı zamanda dosya işlemlerini gerçekleştirme, ekran görüntüleri alma, bilgisayarı kapatıp yeniden başlatma ve isteğe bağlı URL’leri açma yetenekleriyle birlikte gelir.
Araştırmacılar, “Görünüşte, bir RAT’ın bir kripto para birimi madenciliği kötü amaçlı yazılımının bulaşma rutinine dahil edilmesi nispeten küçük görünebilir” dedi.
“Ancak, aracın işlev dizisi ve bu evrimin bulut tabanlı tehdit aktörlerinin kampanyalarını geliştirmeye devam ettiğini gösterdiği gerçeği göz önüne alındığında, hem kuruluşların hem de bireylerin güvenlik söz konusu olduğunda ekstra tetikte olmaları önemlidir.”