Una forma de malware recientemente observada utiliza un nuevo truco para evitar la detección y minar la criptomoneda conocida como Monero en servidores en la nube.

Es la primera vez que se ve esta técnica de ataque, dijeron los investigadores de la división 42 de la compañía de seguridad Palo Alto Networks, que han detallado las capacidades técnicas de la campaña.

No es misterio para nadie que el malware de minería de moneda criptográfica sigue siendo una de las mayores amenazas, incluso una de las más comunes, para las maquinas que se encuentran conectadas a Internet, desde los dispositivos de Internet of Things (IoT) hasta las computadoras.

Dos investigadores, Xingyu Jin y Claud Xiao, de la firma de ciberseguridad Palo Alto Networks, publicaron un informe el jueves, diciendo en el cual muestran como un software nocivo, apodado Rocke Group, el cual está apuntando a la infraestructura de nube pública. Una vez descargado, toma el control administrativo para desinstalar primero los productos de seguridad en la nube y luego inyectar el código que extrae la criptomoneda Monero (XMR).

Es curioso que no son todas las formas de software de seguridad a las que se dirige el malware. Los investigadores descubrieron que el código malicioso de Rocke inyectó código para desinstalar cinco productos de seguridad en la nube diferentes de los servidores Linux infectados, incluidas las ofertas de los principales proveedores chinos de la nube, Alibaba y Tencent.

Cabe mencionar que el malware sigue los pasos de desinstalación establecidos en los manuales de usuario de los productos, lo cual evidentemente contribuye a no levantar sospechas.

Para hacer su trabajo malicioso, el grupo Rocke explota vulnerabilidades en las aplicaciones Apache Struts 2, Oracle WebLogic y Adobe ColdFusion, y luego descarga un script de shell llamado “a7”. Esto golpea a nuestros mineros criptográficos rivales y oculta los signos de su presencia, así como deshabilita los programas de seguridad.

Los investigadores añaden:

“Según nuestro conocimiento, esta es la primera familia de malware que desarrolló la capacidad única de apuntar y eliminar productos de seguridad en la nube”.

Un aspecto interesante es que, además de ejecutar el minero, el malware también puede eliminar cualquier otro proceso de cryptojacking que ya esté explotando el objetivo, una táctica común utilizada por aquellos que implementan malware de minería de criptomonedas para erradicar la competencia.

Aun así, lo más preocupante del malware es la capacidad que posee de evadir la detección de los servicios de seguridad de la nube al cerrarlos.

El malware del grupo Rocke fue descubierto  por primera vez por el gigante de TI Talos Intelligence Group en Cisco en agosto. En el momento en que el investigador de Talos, David Liebenberg, dijo que Rocke “continuará aprovechando los repositorios de Git para descargar y ejecutar la minería ilícita en las máquinas víctimas”.

Una de las razones por las que Rocke puede prosperar es porque algunos administradores no están aplicando los parches que se han lanzado para contrarrestar las vulnerabilidades conocidas.

“Las vulnerabilidades para estos productos han sido reparadas por los proveedores, pero el grupo Rocke se aprovechó del hecho de que algunos administradores no habían implementado esos parches”, dijo Ryan Olson, vicepresidente de inteligencia de amenazas en la Unidad 42 de Palo Alto Networks.

No obstante, cabe mencionar que el reporte señala que Unit 42 de Palo Alto Networks se encuentra trabajando en conjunto con Tencent Cloud y Alibaba Cloud para solucionar los efectos que puede tener este malware. Sin embargo, los investigadores creen que es posible que más ataques de esta naturaleza se reproduzcan en el futuro.

En noviembre, una investigación de la firma israelí de ciberseguridad Check Point Software Technologies demostró que un malware de minería monero, denominado KingMiner, está evolucionando a lo largo del tiempo para evitar la detección.

Monero sigue siendo, con mucho, la criptomoneda más popular entre los hackers. La semana pasada, un estudio realizado por investigadores universitarios mostró que los piratas informáticos han extraído al menos el 4.32 por ciento del total de monero en circulación.

Un estudio de McAfee, publicado en diciembre, mostró que los casos de malware criptográfico se incrementaron en más del 4.000 por ciento el año pasado.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.