Los dispositivos Windows y Linux están siendo atacados por un nuevo gusano minero de criptomonedas

Los dispositivos Windows y Linux están siendo atacados por un nuevo gusano minero de criptomonedas

imágenes falsas

Un gusano de criptominería recién descubierto está intensificando su objetivo de dispositivos Windows y Linux con un lote de nuevas vulnerabilidades y capacidades, dijo un investigador.

La empresa de investigación Juniper comenzó a monitorear lo que llama la botnet Sysrv en diciembre. Uno de los componentes de malware de la botnet era un gusano que se propagaba de un dispositivo vulnerable a otro sin requerir ninguna acción por parte del usuario. Lo hizo escaneando Internet en busca de dispositivos vulnerables y, cuando los encontraba, infectándolos usando una lista de exploits que ha aumentado con el tiempo.

El malware también incluía un criptominer que usa dispositivos infectados para crear la moneda digital Monero. Había un archivo binario separado para cada componente.

Arsenal en constante crecimiento

En marzo, los desarrolladores de Sysrv habían rediseñado el malware para combinar el gusano y el minero en un solo binario. También le dieron al script que carga el malware la capacidad de agregar claves SSH, probablemente como una forma de hacerlo más capaz de sobrevivir a los reinicios y tener capacida des más sofisticadas. El gusano estaba explotando seis vulnerabilidades en software y marcos utilizados en empresas, incluidos Mongo Express, XXL-Job, XML-RPC, Saltstack, ThinkPHP y Drupal Ajax.

“Basándonos en los archivos binarios que hemos visto y el momento en que los hemos visto, descubrimos que el actor de amenazas actualiza constantemente su arsenal de exploits”, dijo el investigador de Juniper Paul Kimayong en un Entrada de blog del jueves.

Investigación de enebro

La publicación del jueves enumeró más de una docena de exploits que están siendo atacados por el malware. Ellos son:

Explotar Software
CVE-2021-3129 Laravel
CVE-2020-14882 Oracle Weblogic
CVE-2019-3396 Macro de conector de widgets en Atlassian Confluence Server
CVE-2019-10758 Mongo Express
CVE-2019-0193 Apache Solr
CVE-2017-9841 PHPUnit
CVE-2017-12149 Servidor de aplicaciones Jboss
CVE-2017-11610 Supervisor (XML-RPC)
Ejecución de comandos no autenticados de Apache Hadoop a través de YARN ResourceManager (sin CVE) Apache Hadoop
Fuerza bruta Jenkins Jenkins
Ejecución de comandos de Jupyter Notebook (sin CVE) Servidor portátil Jupyter
CVE-2019-7238 Administrador de repositorio de Sonatype Nexus
Ejecución del comando de carga de Tomcat Manager Unauth (sin CVE) Administrador de Tomcat
Fuerza bruta de WordPress WordPress

Los exploits que Juniper Research vio anteriormente que usaba el malware son:

  • Mongo Express RCE (CVE-2019-10758)
  • XXL-JOB Unauth RCE
  • XML-RPC (CVE-2017-11610)
  • CVE-2020-16846 (Saltstack RCE)
  • ThinkPHP RCE
  • CVE-2018-7600 (Drupal Ajax RCE)

Adelante, el agua es genial

Los desarrolladores también han cambiado los grupos de minería a los que se unen los dispositivos infectados. El minero es una versión del XMRig de código abierto que actualmente busca los siguientes grupos de minería:

  • Xmr-eu1.nanopool.org:14444
  • f2pool.com:13531
  • minexmr.com:5555

Un grupo de minería es un grupo de mineros de criptomonedas que combinan sus recursos computacionales para reducir la volatilidad de sus retornos y aumentar las posibilidades de encontrar un bloque de transacciones. Según el sitio de comparación de rentabilidad del grupo de minería PoolWatch.io, los grupos utilizados por Sysrv son tres de los cuatro principales grupos de minería de Monero.

“Combinados, casi tienen el 50% de la tasa de hash de la red”, escribió Kimayong. “Los criterios del actor de amenazas parecen ser los mejores grupos de minería con altas tasas de recompensa”.

Investigación de enebro

Las ganancias de la minería se depositan en la siguiente dirección de billetera:

49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

Nanopool muestra que la billetera ganó 8 XMR, con un valor aproximado de $ 1,700, desde el 1 de marzo hasta el 28 de marzo. Está agregando aproximadamente 1 XMR cada dos días.

Investigación de enebro

Una amenaza para Windows y Linux por igual

El binario Sysrv es un binario Go de 64 bits que está empaquetado con el empaquetador ejecutable UPX de código abierto. Hay versiones tanto para Windows como para Linux. Dos binarios de Windows elegidos al azar fueron detectados por 33 y 48 de los 70 principales servicios de protección contra malware, según VirusTotal. Dos binarios de Linux elegidos al azar tenían seis y nueve.

La amenaza de esta botnet no es solo la presión sobre los recursos informáticos y el consumo no trivial de electricidad. Es casi seguro que el malware que tiene la capacidad de ejecutar un cryptominer también puede instalar ransomware y otros productos maliciosos. La publicación del blog del jueves tiene docenas de indicadores que los administradores pueden usar para ver si los dispositivos que administran están infectados.

Leave a Reply

Your email address will not be published. Required fields are marked *