Plus de 800 000 serveurs sont en danger en raison d'un nouveau logiciel malveillant de cryptojacking exploitant PostgreSQL

crypto.news

2024-08-21 04:14:52

Création du résumé en cours

Les chercheurs d’Aqua Nautilus ont découvert un nouveau logiciel malveillant qui cible les serveurs PostgreSQL pour déployer des mineurs de cryptomonnaie.

La société de cybersécurité a identifié plus de 800 000 serveurs potentiellement vulnérables à une campagne de cryptojacking ciblant PostgreSQL, un système de gestion de base de données relationnelle open source utilisé pour stocker, gérer et récupérer des données pour diverses applications.

Selon un rapport de recherche partagé avec crypto.news, le soi-disant malware “PG_MEM” commence par tenter d’accéder aux bases de données PostgreSQL avec une attaque par force brute et parvient à infiltrer des bases de données avec des mots de passe faibles.

Une fois que le malware s’est infiltré dans le système, il établit un rôle de superutilisateur avec des privilèges administratifs, ce qui lui permet de prendre le contrôle total de la base de données et de bloquer l’accès aux autres utilisateurs. Avec ce contrôle, le malware exécute des commandes shell sur l’hôte, facilitant le téléchargement et le déploiement de charges malveillantes supplémentaires.

Selon le rapport, les charges utiles contiennent deux fichiers conçus pour permettre au malware d’éviter la détection, de configurer le système pour l’extraction de crypto-monnaie et de déployer l’outil d’extraction XMRIG utilisé pour extraire de la Monero (XMR)

XMRIG est souvent utilisé par des acteurs de la menace en raison des transactions difficiles à tracer de Monero. L’année dernière, une plateforme éducative a été compromise dans une campagne de cryptojacking où les attaquants ont déployé un code caché qui a installé XMRIG sur l’appareil de chaque visiteur.

Les logiciels malveillants détournent les serveurs PostgreSQL pour déployer des mineurs de crypto-monnaie

Les analystes ont découvert que le logiciel malveillant supprime les tâches cron existantes, qui sont des tâches planifiées s’exécutant automatiquement à des intervalles spécifiés sur un serveur, et en crée de nouvelles pour garantir que le crypto mineur continue de s’exécuter.

Cela permet au malware de poursuivre ses opérations même si le serveur est redémarré ou si certains processus sont temporairement arrêtés. Pour rester inaperçu, le malware supprime des fichiers et des journaux spécifiques qui pourraient être utilisés pour suivre ou identifier ses activités sur le serveur.

Les chercheurs ont averti que si l’objectif principal de la campagne est de déployer le mineur de crypto-monnaie, les attaquants prennent également le contrôle du serveur touché, soulignant sa gravité.

Les campagnes de cryptojacking ciblant les bases de données PostgreSQL ont été une menace récurrente au fil des ans. En 2020, les chercheurs de l’Unité 42 de Palo Alto Networks ont découvert une campagne de cryptojacking similaire impliquant le botnet PgMiner. En 2018, le botnet StickyDB a été découvert, qui a également infiltré des serveurs pour miner du Monero.

OVER0,57%

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.