IBM-beveiligingsonderzoekers hebben een variant van de Mirai-malware ontdekt die tijdelijk was voorzien van een add-on voor bitcoinmining. Het verschijnsel duurde ongeveer een week, waarna de nieuwe variant weer van de radar verdween.

Volgens de onderzoekers begon de activiteit eind maart en duurde in totaal acht dagen. De malware richtte zich op Linux-apparaten die BusyBox aan boord hebben. Dat kunnen iot-apparaten als digitale videorecorders zijn, die ook het doelwit waren van de oorspronkelijke Mirai-malware. De huidige versie was gebaseerd op een eerdere Windows-versie van Mirai, die functies voor sql-injectie en brute force-aanvallen introduceerde.

Een nieuw onderdeel was echter een add-on voor het delven van bitcoins. De vraag die deze toevoeging oproept, is of iot-apparaten wel in staat zijn om deze taak effectief uit te voeren, omdat er aanzienlijke cpu- en gpu-prestaties voor nodig zijn. Deze vraag is niet door de onderzoekers beantwoord, maar zij stellen dat Mirai is gemaakt om duizenden apparaten te infecteren, waardoor de mogelijkheid bestaat dat het botnet samenwerkt om alsnog effectief te zijn.

Zo zou de mining-modus ingeschakeld kunnen worden als het apparaat geen andere taken aan het uitvoeren is. Normaal gesproken wordt het Mirai-botnet ingezet om grote ddos-aanvallen uit te voeren, zoals in oktober op dns-provider Dyn. Nadat de broncode van de malware online kwam, verschenen er verschillende varianten van Mirai. De kortstondige activiteit als bitcoinminer wordt door de onderzoekers niet verklaard, maar wekt de indruk van een korte test of een tegenvallend experiment.

Reacties mogelijk gemaakt door CComment