NoaBot: Nuovo Botnet Mirai per il Mining di Criptovalute su Server SSH
Il NoaBot è un nuovo tipo di botnet basato su Mirai che ha preso di mira i server SSH per sfruttarli nel mining di criptovalute. Questo botnet è stato scoperto all’inizio del 2023 e presenta funzionalità avanzate come la capacità di autoreplicarsi e di creare backdoor tramite chiavi SSH per scaricare e eseguire ulteriori binari o per diffondersi ad altri dispositivi vulnerabili.
Il Mirai, originariamente trapelato nel 2016, è stato la base di diversi botnet, tra cui l’ultimo noto come InfectedSlurs, specializzato in attacchi DDoS. Il NoaBot potrebbe essere correlato ad un’altra campagna di malware chiamata P2PInfect, che mira a dispositivi IoT e router.
Nonostante la sua base Mirai, il NoaBot si diffonde tramite uno scanner SSH per individuare server suscettibili a attacchi a dizionario, inserendo chiavi pubbliche SSH per l’accesso remoto. Inoltre, è in grado di scaricare ulteriori binari o diffondersi ulteriormente una volta compromesso un sistema.
Questo nuovo botnet, a differenza di altri simili, non rivela informazioni sul pool di mining o sull’indirizzo del portafoglio utilizzato per il crypto mining, rendendo difficile valutarne la redditività illecita. Utilizza inoltre un miner di criptovalute XMRig con una configurazione offuscata e un pool di mining personalizzato per nascondere l’indirizzo del portafoglio utilizzato.
L’azienda di sicurezza informatica Akamai ha individuato 849 indirizzi IP vittima in tutto il mondo, con un’alta concentrazione in Cina, rappresentando quasi il 10% degli attacchi registrati contro i loro honeypot nel 2023. Si consiglia di limitare l’accesso SSH su Internet e utilizzare password robuste per ridurre il rischio di infezioni da malware di questo tipo.