Los dispositivos Windows y Linux están siendo atacados por un nuevo gusano minero de criptomonedas

imágenes falsas

Un gusano de criptominería recién descubierto está fortaleciendo su objetivo de dispositivos Windows y Linux con una serie de nuevas vulnerabilidades y características, según un investigador.

La empresa de investigación Juniper comenzó a monitorear la llamada botnet Sysrv en diciembre. Uno de los componentes de malware de la botnet era un gusano que se propagaba de un dispositivo vulnerable a otro sin la interacción del usuario. Escaneó Internet en busca de dispositivos vulnerables y, si los encontraba, los infectó utilizando una lista de exploits que han aumentado con el tiempo.

El malware también contenía un criptominer que usa dispositivos infectados para crear la moneda digital de Monero. Había un archivo binario separado para cada componente.

Arsenal en constante crecimiento

En marzo, los desarrolladores de Sysrv habían rediseñado el malware para combinar gusano y minero en un solo archivo binario. También le dieron al script que carga el malware la capacidad de agregar claves SSH, lo más probable es que pueda resistir mejor los reinicios y tener características más sofisticadas. El gusano aprovechó seis vulnerabilidades en el software y los marcos utilizados en las empresas, incluidos Mongo Express, XXL-Job, XML-RPC, Saltstack, ThinkPHP y Drupal Ajax.

«Basándonos en los binarios que vimos y el momento en que los vimos, descubrimos que el actor de amenazas actualiza constantemente su arsenal de exploits», dijo el investigador de Juniper Paul Kimayong en una publicación de blog el jueves.

Investigación de enebro

La publicación del jueves enumeró más de una docena de exploits atacados por el malware. Usted está:

Explotar software
CVE-2021-3129 Laravel
CVE-2020-14882 Oracle Weblogic
CVE-2019-3396 Macro de conector de widgets en Atlassian Confluence Server
CVE-2019-10758 Mongo Express
CVE-2019-0193 Apache Solr
CVE-2017-9841 PHPUnit
CVE-2017-12149 Servidor de aplicaciones Jboss
CVE-2017-11610 Supervisor (XML-RPC)
Ejecución de comandos no autenticados de Apache Hadoop a través de YARN ResourceManager (sin CVE) Apache Hadoop
Fuerza bruta Jenkins Jenkins
Ejecución de comandos de Jupyter Notebook (sin CVE) Servidor portátil Jupyter
CVE-2019-7238 Administrador de repositorio de Sonatype Nexus
Ejecución del comando de carga de Tomcat Manager Unauth (sin CVE) Administrador de Tomcat
Fuerza bruta de WordPress WordPress

Los exploits que Juniper Research vio anteriormente mientras usaba el malware son:

  • Mongo Express RCE (CVE-2019-10758)
  • XXL-JOB Unauth RCE
  • XML-RPC (CVE-2017-11610)
  • CVE-2020-16846 (Saltstack RCE)
  • ThinkPHP RCE
  • CVE-2018-7600 (Drupal Ajax RCE)

Entra, el agua es genial

Los desarrolladores también cambiaron los grupos de minería a los que se unen los dispositivos infectados. El minero es una versión del XMRig de código abierto que actualmente está extrayendo los siguientes grupos de minería:

  • Xmr-eu1.nanopool.org:14444
  • f2pool.com:13531
  • minexmr.com:5555

Un grupo de minería es un grupo de mineros de criptomonedas que combinan sus recursos informáticos para reducir la volatilidad de sus retornos y aumentar la probabilidad de encontrar un bloque de transacciones. Según el sitio de comparación de rentabilidad de los grupos de minería PoolWatch.io, los grupos utilizados por Sysrv son tres de los cuatro principales grupos de minería de Monero.

«Juntos tienen casi el 50% de la tasa de hash de la red», escribió Kimayong. «Los criterios del actor de amenazas parecen ser los principales grupos de minería con altas tasas de recompensa».

Investigación de enebro

Las ganancias de la minería se depositarán en la siguiente dirección de billetera:

49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

Nanopool revela que la billetera ganó 8 XMR por un valor de alrededor de $ 1,700 desde el 1 de marzo hasta el 28 de marzo. Se agrega aproximadamente 1 XMR cada dos días.

Investigación de enebro

Una amenaza para Windows y Linux por igual

El binario sysrv es un binario go de 64 bits empaquetado con el empaquetador UPX ejecutable de código abierto. Hay versiones para Windows y Linux. Dos binarios de Windows seleccionados al azar fueron detectados por 33 y 48 de los 70 principales servicios de protección contra malware, según VirusTotal. Dos binarios de Linux elegidos al azar tenían seis y nueve.

La amenaza que plantea esta botnet no es solo la presión sobre los recursos informáticos y el consumo de energía no trivial. Es casi seguro que el malware que puede ejecutar un criptominer también puede instalar ransomware y otros productos dañinos. La publicación del blog del jueves tiene decenas de indicadores que los administradores pueden usar para determinar si los dispositivos que administran están infectados.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí