Individuato un miner di criptovalute Linux che utilizza siti legittimi per diffondere malware

Una recente indagine di VulnCheck ha portato alla luce una campagna di cryptomining che è passata inosservata per anni. L'autore della minaccia dietro questa operazione, che utilizza il miner Linuxsys, ha preso di mira sistemi vulnerabili almeno dal 2021, adottando una strategia coerente che si basa in larga misura su siti web legittimi compromessi per distribuire malware.

Ciò che rende questa campagna più difficile da rilevare è l'utilizzo di siti web reali da parte degli aggressori come canali di distribuzione del malware. Invece di ospitare payload su domini sospetti, compromettono siti di terze parti con certificati SSL validi e vi inseriscono i link per il download. Questo non solo consente loro di aggirare numerosi filtri di sicurezza, ma mantiene anche la loro infrastruttura principale (come il sito di download repositorylinux.org ) lontana dai file del malware.

Tra il 1° e il 16 luglio di quest'anno, gli analisti di VulnCheck hanno individuato ripetuti tentativi di exploit dall'indirizzo IP 103.193.177.152 contro un'istanza canary di Apache 2.4.49. Questi tentativi erano legati alla vulnerabilità CVE-2021-41773 . Sebbene questa vulnerabilità in particolare non sia nuova e continui a essere un obiettivo comune, l'entità che l'ha sfruttata si è distinta.

Gli aggressori hanno utilizzato un semplice script chiamato linux.sh , che estrae sia il file di configurazione che il binario Linuxsys da un elenco di cinque siti web compromessi. Tra questi, domini come prepstarcenter.com , wisecode.it e dodoma.shop , tutti siti dall'aspetto ordinario.

Secondo il post sul blog di VulnCheck condiviso con Hackread.com prima della pubblicazione di mercoledì, l'elenco non era casuale. Questo offriva all'aggressore opzioni di backup nel caso in cui un sito fosse stato chiuso o avesse smesso di funzionare, consentendo al malware di diffondersi senza interruzioni.

Il file di configurazione del miner recuperato da questi siti indica hashvault.pro come mining pool e identifica il portafoglio associato all'operazione. Quel portafoglio ha ricevuto piccoli pagamenti da gennaio 2025, con una media di circa 0,024 XMR al giorno, circa 8 dollari.

Sebbene 8 dollari sembrino insignificanti, l'operazione non mira necessariamente a generare profitti elevati. La costanza e la durata suggeriscono altri obiettivi, o forse una maggiore attività mineraria altrove, che non è stata ancora osservata.

Risalendo indietro nel tempo, Linuxsys è apparso per la prima volta nel 2021 in unpost sul blog di Hal Pomeranz, un esperto molto stimato di analisi forense digitale Linux e Unix, che analizzava lo sfruttamento della stessa CVE. Da allora, è stato associato a molteplici vulnerabilità attraverso segnalazioni di diverse aziende di sicurezza informatica. Tra queste, recenti CVE come 2023-22527 , 2023-34960 e 2024-36401 .

Tutte queste vulnerabilità di sicurezza sono state sfruttate tramite exploit di vulnerabilità di n giorni , staging di contenuti su infrastrutture web compromesse e operazioni di mining persistente. Una vulnerabilità di n giorni è un bug di sicurezza già noto e solitamente con una correzione disponibile. Il nome indica semplicemente che il difetto è stato reso pubblico per un certo numero di giorni, dove "n" indica quanti giorni sono trascorsi da quando il problema è stato reso pubblico o risolto per la prima volta.

Ci sono anche prove che l'operazione non sia limitata a Linux. Due eseguibili Windows, nssm.exe e winsys.exe , sono stati trovati sugli stessi host compromessi. Sebbene VulnCheck non li abbia osservati in azione, la loro presenza suggerisce un ambito più ampio rispetto ai soli sistemi Linux.

Ciò che ha mantenuto questa campagna così discreta è probabilmente una combinazione di un targeting accurato e di una deliberata elusione degli honeypot . VulnCheck osserva che l'attaccante sembra prediligere ambienti ad alta interazione, il che significa che i tipici server esca spesso ignorano completamente questa attività. Questo approccio cauto ha probabilmente aiutato la campagna a non attirare troppa attenzione nonostante sia attiva da anni.

VulnCheck ha rilasciato regole Suricata e Snort che rilevano i tentativi di exploit per tutti i CVE associati noti. Tra gli indicatori di compromissione figurano IP, URL e hash dei file correlati all'attacco. Sono state inoltre fornite regole di rilevamento che i team di sicurezza possono utilizzare per identificare le query DNS e il traffico HTTP associati al downloader e agli script del payload iniziale.