امسال دو کمپین سرقت ارز دیجیتال به نامهای Linux Rabbit و Rabbot توسط تیم پژوهشگران Anomali Labs شناسایی شد. Linux Rabbit از ماه آگوست فعالیت خود را آغاز کرد و تنها لینوکس باکسها را هدف قرار میداد، در حالیکه دومین بدافزار به نام Rabbot از ماه سپتامبر تا اکتبر شروع به فعالیت کرده و به دستگاههای IoT حمله میکند.
هر دوی این بدافزارها برای شناسایی معماری دستگاههای مورد حمله و نیز نصب نرمافزار استخراج ارزهای دیجیتال مورد استفاده قرار میگیرند.
علاوه بر این، بدافزار Linux Rabbit از طریق ارتباط با سرور فرماندهی و کنترل (C2)، به اسکن و نفوذ به اهداف مستقر در روسیه، کره شمالی، بریتانیا و ایالات متحده میپردازد. در مراحل بعدی، این بدافزار با نصب CNRig و CoinHive، در پی سرقت ارز دیجیتال مونرو است.
بدافزار Linux Rabbit با اسکن سرورهای لینوکس آلوده، سایر نرمافزارهای ماینینگ ارز مونرو را شناسایی و پیش از نصب شدن، آنها را حذف میکند.
بررسی محققان نشان داد که Rabbot و Linux Rabbit کدهای مشابه و در نتیجه عملکرد یکسانی دارند، با این تفاوت که Rabbot تمام پیلودهای خود را از طریق پورت باز 80 به سرورهای لینوکس ارسال میکند.