Nuevo malware de cryptojacking se dirige a servidores Apache, Oracle y Redis – Masterhacks Blog

Nuevo malware de cryptojacking se dirige a servidores Apache, Oracle y Redis

Un actor de amenazas con motivaciones financieras, conocido por sus ataques de cryptojacking, aprovechó una versión revisada de su malware para atacar las infraestructuras de la nube utilizando vulnerabilidades en las tecnologías de servidores web, según una nueva investigación.

Implementado por el grupo de hackers con sede en China, Rocke, el malware de cryptojacking Pro-Ocean ahora cuenta con capacidades mejoradas de rootkit y gusanos, además de albergar nuevas tácticas de evasión para eludir los métodos de detección de las empresas de seguridad cibernética, según informaron los investigadores de la Unidad 42 de Palo Alto Networks.

«Pro-Ocean utiliza vulnerabilidades conocidas para apuntar a aplicaciones en la nube. En nuestro análisis, encontramos que Pro-Ocean apunta a Apache ActiveMQ (CVE-2016-3088), Oracle WebLogic (CVE-2017-10271) y Redis (instancias no seguras)», dijeron los investigadores.

«Una vez instalado, el malware mata cualquier proceso que utilice mucha CPU, de forma que pueda usar el 100% de la CPU y extraer Monero de forma eficiente», agregaron.

Documentado por primera vez por Cisco Talos en 2018, se descubrió que Rocke distribuye y ejecuta malware de minería criptográfica utilizando un conjunto de herramientas variado que incluye repositorios de Git y diferentes cargas útiles, como scripts de shell, backdoors de JavaScript, además de archivos ejecutables portátiles.

Aunque las variantes anteriores del malware confiaban en la capacidad de apuntar y eliminar productos de seguridad en la nube desarrollados por Tencent Cloud y Alibaba Cloud mediante la explotación de fallas en Apache Struts 2, Oracle WebLogic y Adobe ColdFusion, Pro-Ocean ha agrandó la amplitud de esos vectores de ataque apuntando a los servidores Apache ActiveMQ, Oracle WebLogic y Redis.

Además de sus características de propagación automática y mejores técnicas de ocultación que le permiten permanecer bajo el radar y propagarse a software sin parches en la red, el malware se propone desinstalar agentes de monitoreo para esquivar la detección y eliminar otros malware y mineros de los sistemas infectados.

Para lograr esto, aprovecha una característica nativa de Linux llamada LD_PRELOAD, con el fin de enmascarar su actividad maliciosa, una biblioteca llamada Libprocesshider, para permanecer oculta y utiliza un script de infección de Python que toma la IP pública de la máquina para infectar todas las máquinas en la misma subred de 16 bits.

Pro-Ocean también trabaja para eliminar la competencia al eliminar otros malware y mineros, incluyendo Luoxk, BillGates, XMRig y Hashfish, que se ejecutan en el host comprometido. Además, cuenta con un módulo de vigilancia escrito en Bash, que asegura la persistencia y se encarga de terminar todos los procesos que utilizan más del 30% de la CPU con el objetivo de minar Monero de forma eficiente.

«Este malware es un ejemplo que demuestra que las soluciones de seguridad basadas en agentes de los proveedores de la nube pueden no ser suficientes para prevenir el malware evasivo dirigido a la infraestructura de la nube pública. Esta muestra tiene la capacidad de eliminar los agentes de algunos proveedores de nube y evadir su detección», dijo Aviv Sasson, investigador de la Unidad 42.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *