Эксперт компании Akamai Ларри Кешдолларо (Larry Cashdollar) заметил, что злоумышленники, по всей видимости, начали ощущать нехватку Arm- и MIPS-устройств. В итоге теперь майнинговая малварь нацеливается, в том числе, на системы X86/I686 под управлением Linux.
Кешдоллар полагает, что ему удалось обнаружить некую вариацию майнингового IoT-ботента, нацеленного на корпоративные сети. Малварь ориентирована на системы на базе Intel x86 и 686 и пытается установить соединение с SSH-портом 22, представляя себя в виде архива gzip. Затем вредонос проверяет, не была ли атакуемая система заражена ранее (в этом случае установка прекращается) и не запущена ли на устройстве более ранняя версия, которую необходимо остановить.
Если все проверки пройдены, вредонос создает три разных каталога с разными версиями одних и тех же файлов. Исследователь объясняет, что каждый каталог содержит разные версии майнера XMrig v2.14.1 в 32-битном или 64-битном формате. Причем некоторые бинарники нарочно, для маскировки названы как обычные утилиты Unix, такие как ps.
В конце концов, в систему устанавливается непосредственно майнер, а также малварь модифицирует crontab, чтобы добиться устойчивого присутствия.
Специалист Akamai предполагает, что данный вредонос – дело рук операторов майнинговой малвари, которые начали ощущать дефицит Arm- и MIPS-устройств с которыми можно установить telnet-связь, и переключили свое внимание на Intel-системы.