Un gusano de criptominería recién descubierto está intensificando su objetivo de dispositivos Windows y Linux con un lote de nuevas vulnerabilidades y capacidades, dijo un investigador.
La empresa de investigación Juniper comenzó a monitorear lo que llama la botnet Sysrv en diciembre. Uno de los componentes de malware de la botnet era un gusano que se propagaba de un dispositivo vulnerable a otro sin requerir ninguna acción por parte del usuario. Lo hizo escaneando Internet en busca de dispositivos vulnerables y, cuando los encontraba, infectándolos usando una lista de exploits que ha aumentado con el tiempo.
El malware también incluía un criptominer que usa dispositivos infectados para crear la moneda digital Monero. Había un archivo binario separado para cada componente.
Arsenal en constante crecimiento
En marzo, los desarrolladores de Sysrv habían rediseñado el malware para combinar el gusano y el minero en un solo binario. También le dieron al script que carga el malware la capacidad de agregar claves SSH, probablemente como una forma de hacerlo más capaz de sobrevivir a los reinicios y tener capacida des más sofisticadas. El gusano estaba explotando seis vulnerabilidades en software y marcos utilizados en empresas, incluidos Mongo Express, XXL-Job, XML-RPC, Saltstack, ThinkPHP y Drupal Ajax.
“Basándonos en los archivos binarios que hemos visto y el momento en que los hemos visto, descubrimos que el actor de amenazas actualiza constantemente su arsenal de exploits”, dijo el investigador de Juniper Paul Kimayong en un Entrada de blog del jueves.
La publicación del jueves enumeró más de una docena de exploits que están siendo atacados por el malware. Ellos son:
Explotar | Software |
CVE-2021-3129 | Laravel |
CVE-2020-14882 | Oracle Weblogic |
CVE-2019-3396 | Macro de conector de widgets en Atlassian Confluence Server |
CVE-2019-10758 | Mongo Express |
CVE-2019-0193 | Apache Solr |
CVE-2017-9841 | PHPUnit |
CVE-2017-12149 | Servidor de aplicaciones Jboss |
CVE-2017-11610 | Supervisor (XML-RPC) |
Ejecución de comandos no autenticados de Apache Hadoop a través de YARN ResourceManager (sin CVE) | Apache Hadoop |
Fuerza bruta Jenkins | Jenkins |
Ejecución de comandos de Jupyter Notebook (sin CVE) | Servidor portátil Jupyter |
CVE-2019-7238 | Administrador de repositorio de Sonatype Nexus |
Ejecución del comando de carga de Tomcat Manager Unauth (sin CVE) | Administrador de Tomcat |
Fuerza bruta de WordPress | WordPress |
Los exploits que Juniper Research vio anteriormente que usaba el malware son:
- Mongo Express RCE (CVE-2019-10758)
- XXL-JOB Unauth RCE
- XML-RPC (CVE-2017-11610)
- CVE-2020-16846 (Saltstack RCE)
- ThinkPHP RCE
- CVE-2018-7600 (Drupal Ajax RCE)
Adelante, el agua es genial
Los desarrolladores también han cambiado los grupos de minería a los que se unen los dispositivos infectados. El minero es una versión del XMRig de código abierto que actualmente busca los siguientes grupos de minería:
- Xmr-eu1.nanopool.org:14444
- f2pool.com:13531
- minexmr.com:5555
Un grupo de minería es un grupo de mineros de criptomonedas que combinan sus recursos computacionales para reducir la volatilidad de sus retornos y aumentar las posibilidades de encontrar un bloque de transacciones. Según el sitio de comparación de rentabilidad del grupo de minería PoolWatch.io, los grupos utilizados por Sysrv son tres de los cuatro principales grupos de minería de Monero.
“Combinados, casi tienen el 50% de la tasa de hash de la red”, escribió Kimayong. “Los criterios del actor de amenazas parecen ser los mejores grupos de minería con altas tasas de recompensa”.
Las ganancias de la minería se depositan en la siguiente dirección de billetera:
49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa
Nanopool muestra que la billetera ganó 8 XMR, con un valor aproximado de $ 1,700, desde el 1 de marzo hasta el 28 de marzo. Está agregando aproximadamente 1 XMR cada dos días.
Una amenaza para Windows y Linux por igual
El binario Sysrv es un binario Go de 64 bits que está empaquetado con el empaquetador ejecutable UPX de código abierto. Hay versiones tanto para Windows como para Linux. Dos binarios de Windows elegidos al azar fueron detectados por 33 y 48 de los 70 principales servicios de protección contra malware, según VirusTotal. Dos binarios de Linux elegidos al azar tenían seis y nueve.
La amenaza de esta botnet no es solo la presión sobre los recursos informáticos y el consumo no trivial de electricidad. Es casi seguro que el malware que tiene la capacidad de ejecutar un cryptominer también puede instalar ransomware y otros productos maliciosos. La publicación del blog del jueves tiene docenas de indicadores que los administradores pueden usar para ver si los dispositivos que administran están infectados.