Det är forskare vid AT&T Alien Labs som först upptäckt den skadliga koden; detta skedde i mars och forskarna döpte koden till Xwo efter namnet på den primära modulen. Forskarna menar att Xwo kan relateras till två andra typer av skadlig kod - gisslanprogrammet MongoLock och XBash, en typ av skadlig kod som kombinerar gisslanprogram, kryptogrävare, ett botnät och en mask i samma paket - på grund av likheter i deras python-baserade kod, skriver ZDNet.

Men till skillnad från MongoLock och XBash bär inte Xwo på något gisslanprogram, kryptogrävare eller någon annan typ av pengarelaterad kapacitet, utan dess huvudsakliga fokus är att läsa av inloggningsuppgifter och exponerade tjänster, och skicka informationen till sin kontrollserver.

Det är denna infrastruktur som tidigare har associerats med MongoLock och den följer samma mönster med skapande av domäner som imiterar webbsidor från kända it-säkerhetsföretag och nyhetssajter, och registrerar dem under toppdomänen .tk - territoriet Tokelau i södra Stilla Havet som tillhör Nya Zeeland.

Det är fortfarande osäkert hur Xwo började spridas eller hur den får tillgång till internet-uppkopplade maskiner, men den skadliga koden är designad för att rekognosera och skicka tillbaka information till sin kontrollserver genom en HTTP POST-förfrågan.

Xwo försöker samla in information om användningen av standardlösenord i tjänster som FTP, MySQL, PostgreSQL, MongoDB, Redis, Memcached och standardlösenord och felaktiga konfigurationer i Tomcat. Dessutom försöker Xwo samla in information om standardsökvägar för SVN och Git, formatversioner för Git-repos och detaljer om PHP-administratörer, med mera. Det verkar högst sannolikt som att Xwo försöker hitta svagheter som kan utnyttjas i kommande attacker.

För att försöka motverka Xwo har AT&T Alien Labs publicerat en full lista med olika sätt att upptäcka Xwo.

CloudFlare har varnats om gruppens kontrollservrar och tagit bort domänerna, men det är sannolikt att förövarna kommer tillbaka med nya domäner eller kontrollservrar.

Läs också:
Microsoft inför ”petskydd” i kommande Windows
Nya hotet mot din dator – så skyddar du dig mot ransomware