TeamTNT, en cryptojacking malware som riktar sig mot exponerade Docker API: er, har fått en ny förmåga att dölja sina skadliga processer. Som upptäckts av forskare vid AT&T Alien Labs använder TeamTNT-botnätskadlig programvara ett verktyg med öppen källkod för att dölja sin skadliga process i Linux-datorerna och radera dess spår.
TeamTNT Malware gömmer sig med hjälp av ett verktyg med öppen källkod
Först upptäckt av MalwareHunterTeamvar TeamTNT botnet malware kapa Internet-exponerade Docker API:er att lägga till dem i sitt nätverk och använda deras resurser för att bryta Monero-kryptovaluta. Denna skadliga programvara har snart utvecklats för att få möjligheten att stjäla Docker- och AWS-uppgifterna.
Nu är det så rapporterat av forskare vid AT&T Alien Labs att författarna till TeamTNT har utvecklat skadlig programvara för att använda ett verktyg med öppen källkod som heter “libprocesshider” (tillgänglig i GitHub) för att dölja dess skadliga processer från upptäckt. Detta verktyg togs in tillsammans med TeamTNT-binären, som ett base64-kodat bash-skript. När den väl är avrättad har den makten att;
- Ändra nätverkets DNS-konfiguration.
- Ställ in persistens genom systemet.
- Släpp och aktivera det nya verktyget som en tjänst.
- Ladda ner den senaste IRC-botkonfigurationen och
- Tydliga bevis på aktiviteter som komplicerar potentiella försvarares handlingar.
Skadlig programvara, som heter Black-Tär också kapabel att radera all historia av sin skadliga aktivitet från systemet. Angående detta, Ofer Caspisa en forskare från teamet, “.”
Det visar hur hängivna författarna till TeamTNT är i att göra denna skadliga programvara stark, eftersom den har fått möjligheter att stjäla referenser och upptäcktsflykt på bara färre än nio månader. För att uppfylla sitt mål förbrukar den värddatorns resurser för att bryta Monero-kryptovaluta åt sina skapare.
