La engañosa botnet criptográfica sintoniza su CPU para optimizar el rendimiento de la minería
la seguridad cibernética los expertos descubrieron nuevas malware que realiza ajustes en la CPU de su víctima para aumentar el rendimiento de la máquina como un cripto mineiro.
identificado por seguridad en la nube Uptycs de la empresa, el malware ataca servidores vulnerables basados en Linux, explotando vulnerabilidades conocidas en la web popular servidores.
«El equipo de investigación de amenazas de Uptycs observó recientemente que el gusano basado en Golang eliminaba los binarios de criptomineros que usan el controlador MSR (Registro específico del modelo) para deshabilitar los precapturadores de hardware y acelerar el proceso de minería en un 15%». investigadores revelados en una publicación de blog.
Estamos analizando cómo nuestros lectores usan VPN con sitios de transmisión como Netflix para que podamos mejorar nuestro contenido y ofrecer mejores consejos. Esta encuesta no le tomará más de 60 segundos de su tiempo y le agradeceríamos mucho que compartiera sus experiencias con nosotros.
>> Haga clic aquí para iniciar la búsqueda en una nueva ventana <
La captación previa de hardware es una técnica que permite a los procesadores cargar datos en la memoria caché para acelerar los cálculos repetitivos y se puede alternar con el MSR.
penalización por desempeño
Según los investigadores, si bien la desactivación del prefetcher de hardware aumenta el rendimiento del cifrado, disminuye el rendimiento de otras aplicaciones legítimas que se ejecutan en el servidor.
Aunque el malware, identificado por primera vez por Uptycs en junio de 2021, es similar a la cepa descubierta por Intezer el año pasado, las nuevas variantes emplean muchos trucos nuevos. Los investigadores ya han identificado siete variantes de cryptominer con gusanos basados en Goland, con diferencias sutiles.
Al describir la cadena de ataque de criptomineros, los investigadores dicen que el ataque comienza con un script de shell, que primero descarga el gusano Golang. Luego, este gusano busca y explota las vulnerabilidades existentes basadas en el servidor, en particular, CVE-2020-14882 y CVE-2017-11610.
Después de irrumpir en un servidor vulnerable, el gusano escribe varias copias de sí mismo en varios directorios sensibles como / boot, / efi, / grub y luego instala el ELF del minero Xmrig en / tmp. Luego, el minero deshabilita la captación previa de hardware usando MSR, antes de comenzar a trabajar.
