Technologies
Share this article

La branche cybersécurité d'AT&T analyse la menace des mineurs de Crypto sur les serveurs de messagerie

Une nouvelle analyse technique d'AT&T Alien Labs offre un aperçu de la manière dont une forme pernicieuse de malware de minage de Monero s'infiltre dans les réseaux de messagerie.

By Danny Nelson
Updated Sep 13, 2021, 12:07 p.m. Published Jan 9, 2020, 2:00 p.m.
AT&T image via Jonathan Weiss / Shutterstock
AT&T image via Jonathan Weiss / Shutterstock

Alien Labs d'AT&T se lance dans l'analyse des logiciels malveillants de cryptominage avec une nouvelle analyse technologique de la façon dont un mineur de Monero s'infiltre dans les réseaux.

La Suite Ci-Dessous
Don't miss another story.Subscribe to the The Protocol Newsletter today. See all newsletters
By signing up, you will receive emails about CoinDesk products and you agree to our terms of use and privacy policy.

Sorti jeudi, lerapport Le chercheur en sécurité Fernando Domínguez explique étape par étape comment un cryptojacker discret infecte et se propage sur des serveurs Exim, Confluence et WebLogic vulnérables, en installant un code malveillant qui exploite Monero via un proxy. Selon lui, les serveurs Exim représentent plus de la moitié des serveurs de messagerie. ZDNet.

Le ver injecte d'abord dans les serveurs cibles un script BASH qui recherche et supprime les processus de minage concurrents avant de tenter d'infiltrer d'autres machines connues du réseau.tuent souvent les mineurs concurrents lorsqu'ils infectent un système, et pour une raison très simple : plus un processus consomme de CPU, moins il en reste pour les autres, selon le rapport.

Les serveurs piratés téléchargent ensuite la charge utile du script : une « omelette » (comme est appelée la variable du fichier exécutable téléchargé) basée sur le mineur Monero open source appelé XMRig.

Disponible sur GitHub, XMRig est un outil très apprécié des pirates informatiques et un élément essentiel de l'arsenal des cryptojackers. Il a été réintégré dansMineurs de MacBook,répartis sur500 000 ordinateurs et, en 2017, est devenu si populaire que des rapports d'exploitation minière malveillantea atteint plus de 400pour cent.

Selon AT&T Alien Labs, ce mineur modifié opère via un proxy. Il est donc quasiment impossible de tracer les fonds, voire de déterminer l'adresse du portefeuille, sans accès au serveur proxy.

Faire cuire cette omelette est difficile. Lors du téléchargement, un autre fichier appelé « sésame » – identique au script BASH original – est également téléchargé. C'est la clé de la persistance du ver : il s'associe à une tâche cron avec un intervalle de cinq minutes, ce qui lui permet de résister aux tentatives d'arrêt et aux arrêts du système. Il peut même se mettre à jour automatiquement avec les nouvelles versions.

AT&T Alien Labs a commencé à suivre le ver en juin 2019. Il avait déjà été étudié par la société d'analyse de sécurité cloud Lacework en juillet.

Les chercheurs T l'ampleur exacte de ce mineur de Monero anonyme. Le rapport d'Alien Labs admet qu'il est difficile d'estimer les revenus générés par cette campagne pour l'acteur malveillant, mais souligne que la campagne n'est pas d'une grande ampleur.

Néanmoins, cela sert de rappel à tous les opérateurs de serveur : KEEP toujours votre logiciel corrigé et à jour.

hackingMonero

More For You

Protocol Research: GoPlus Security

By CoinDesk Research
Nov 14, 2025
Commissioned byGoPlus
GP Basic Image

What to know:

  • As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
  • GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
  • Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
View Full Report

More For You

Drift de Solana lance la version 3, avec des transactions 10 fois plus rapides

By Margaux Nijkerk, AI Boost|Edited by Nikhilesh De
Dec 4, 2025
Drift (b52_Tresa/Pixabay)

Avec la version 3, l'équipe indique qu'environ 85 % des ordres au marché seront exécutés en moins d'une demi-seconde, et que la liquidité s'approfondira suffisamment pour réduire le glissement sur les transactions importantes à environ 0,02 %.

What to know:

  • Drift, l'une des plus grandes plateformes de trading de contrats perpétuels sur Solana, a lancé Drift v3, une mise à jour majeure visant à rendre le trading on-chain aussi rapide et fluide que celui d'une plateforme centralisée.
  • La nouvelle version offrira une exécution des transactions 10 fois plus rapide grâce à une refonte complète du backend, marquant ainsi le plus grand saut de performance réalisé par le projet à ce jour.
Read full story