search feed
Banner Pubblicitario Animato

Le istanze di Selenium Grid esposte su Internet sono prese di mira da malintenzionati per campagne illecite di mining di criptovalute e di proxyjacking.

Tuttavia, la configurazione predefinita di Selenium Grid non prevede l’autenticazione, il che lo rende vulnerabile allo sfruttamento da parte degli autori delle minacce.”

L’abuso di istanze di Selenium Grid accessibili al pubblico per l’implementazione di miner di criptovalute era stato precedentemente evidenziato dalla società di sicurezza cloud Wiz a fine luglio 2024 come parte di un cluster di attività denominato SeleniumGreed.

Cado, che ha osservato due diverse campagne contro il suo server honeypot, ha affermato che gli autori della minaccia stanno sfruttando la mancanza di protezioni di autenticazione per eseguire una serie diversificata di azioni dannose.

Il primo di essi sfrutta il dizionario “goog:chromeOptions” per iniettare uno script Python codificato in Base64 che, a sua volta, recupera uno script denominato “y“, che è la reverse shell GSocket open source .

Mining di criptovalute e proxyjacking

Successivamente, la reverse shell funge da mezzo per introdurre il payload della fase successiva, uno script bash denominato “pl” che recupera IPRoyal Pawn ed EarnFM da un server remoto tramite i comandi curl e wget.

Banner Pubblicitario

IPRoyal Pawns è un servizio proxy residenziale che consente agli utenti di vendere la propria larghezza di banda Internet in cambio di denaro, ha affermato Cado.

La connessione Internet dell’utente viene condivisa con la rete IPRoyal e il servizio utilizza la larghezza di banda come proxy residenziale, rendendola disponibile per vari scopi, compresi quelli dannosi.”

EarnFM è anche una soluzione proxyware pubblicizzata come un modo “rivoluzionario” per “generare reddito passivo online semplicemente condividendo la propria connessione Internet.

Il secondo attacco, come la campagna proxyjacking, segue lo stesso percorso per distribuire uno script bash tramite uno script Python che verifica se è in esecuzione su una macchina a 64 bit e poi procede a rilasciare un binario ELF basato su Golang.

Successivamente, il file ELF tenta di passare alla root sfruttando la falla PwnKit (CVE-2021-4043) e rilascia un miner di criptovaluta XMRig chiamato perfcc.

Dato che molte organizzazioni si affidano a Selenium Grid per i test dei browser Web, questa campagna evidenzia ulteriormente come le istanze non configurate correttamente possano essere sfruttate dagli autori delle minacce

hanno affermato i ricercatori. Gli utenti devono assicurarsi che l’autenticazione sia configurata, poiché non è abilitata di default.

seguici anche su:

@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/mwlite/in/fernandoc-364ab419a
@FACEBOOK https://www.facebook.com/hackerpunk19202
@EBOOK https://amzn.eu/d/6dcujGr
@EBOOK (English version)https://amzn.eu/d/0yu1ldv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ

Banner Pubblicitario Animato

Di HPadmin