Una nueva versión de un malware de minería criptográfica de Linux que se usaba anteriormente para apuntar a contenedores Docker en 2020 ahora se enfoca en nuevos proveedores de servicios en la nube como Huawei Cloud.
El análisis de la nueva campaña proviene de los investigadores de TrendMicro, quienes explican cómo el malware ha evolucionado con nuevas características mientras conserva su funcionalidad anterior.
Más específicamente, las muestras más nuevas han comentado la función de creación de reglas de firewall (pero todavía está allí) y continúan soltando un escáner de red para asignar otros hosts con puertos relevantes para API.
Sin embargo, la nueva versión de malware solo se dirige a entornos en la nube y ahora está buscando y eliminando cualquier otro script de cryptojacking que pueda haber infectado previamente el sistema.
Al infectar un sistema Linux, el minero de monedas malicioso realizará los siguientes pasos, que incluyen la eliminación de los usuarios que crean los distribuidores de malware de cripto minería de la competencia.
Después de eliminar los usuarios creados por otros actores de amenazas, los actores agregan sus propios usuarios, un paso común para muchos criptojackers dirigidos a la nube. Sin embargo, a diferencia de muchos otros criptomineros, el malware agrega sus cuentas de usuario a la lista de sudoers, dándoles acceso de root al dispositivo.
Para garantizar que se mantenga la persistencia en el dispositivo, los atacantes utilizan su propia clave ssh-RSA para realizar modificaciones del sistema y cambiar los permisos de archivo a un estado bloqueado.
Proporciona una verdadera integración y automatización en la infraestructura de seguridad de una organización, brindando una protección y visibilidad sin igual a cada segmento de red, dispositivo y equipo, ya sea virtual, en la nube o local.
Esto significa que incluso si otro actor obtiene acceso al dispositivo en el futuro, no podrá tomar el control completo de la máquina vulnerable.
Los actores instalan el servicio de proxy Tor para proteger las comunicaciones de la detección y el escrutinio del escaneo de la red, pasando todas las conexiones a través de él para su anonimato.
Los binarios descartados («linux64_shell», «ff.sh», «fczyo», «xlinux») presentan cierto nivel de ofuscación, y TrendMicro ha visto señales de que el empaquetador UPX se ha implementado para la envoltura.
Los actores han pasado por una mayor manipulación para ajustar los binarios para que sean sigilosos frente a los conjuntos de herramientas de detección y análisis automatizados.
Después de afianzarse en un dispositivo, los scripts del pirata informático explotarán los sistemas remotos y los infectarán con los scripts maliciosos y el criptominer.
Las vulnerabilidades conocidas analizadas durante este ataque incluyen:
- Contraseñas SSH débiles
- Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2020-14882)
- Redis acceso no autorizado o contraseñas débiles
- Acceso no autorizado a PostgreSQL o contraseña débil
- Contraseña débil de SQLServer
- Acceso no autorizado de MongoDB o contraseña débil
- Contraseña débil del protocolo de transferencia de archivos (FTP)
Fuente: bleepingcomputer.com
