Los dispositivos Windows y Linux están siendo atacados por un nuevo gusano criptominero

Los dispositivos Windows y Linux están siendo atacados por un nuevo gusano criptominero

imágenes falsas

Un gusano de criptominería recientemente descubierto está intensificando su objetivo de dispositivos Windows y Linux con un lote de nuevas vulnerabilidades y capacidades, dijo un investigador.

La compañía de investigación Juniper comenzó a monitorear lo que llama la botnet Sysrv en diciembre. Uno de los componentes de malware de la red de bots era un gusano que se propagaba de un dispositivo vulnerable a otro sin requerir ninguna acción por parte del usuario. Hizo esto escaneando Internet en busca de dispositivos vulnerables y, cuando los encontró, los infectó usando una lista de vulnerabilidades que ha aumentado con el tiempo.

El malware también incluía un criptominero que usa dispositivos infectados para crear la moneda digital Monero. Había un archivo binario separado para cada componente.

Arsenal en constante crecimiento

Para marzo, los desarrolladores de Sysrv habían rediseñado el malware para combinar el gusano y el minero en un solo binario. También le dieron al script que carga el malware la capacidad de agregar claves SSH, muy probablemente como una forma de hacerlo más capaz de sobrevivir a los reinicios y tener capacidades más sofisticadas. El gusano explotaba seis vulnerabilidades en el software y los marcos utilizados en las empresas, incluidos Mongo Express, XXL-Job, XML-RPC, Saltstack, ThinkPHP y Drupal Ajax.

“Según los binarios que hemos visto y el momento en que los hemos visto, descubrimos que el actor de amenazas actualiza constantemente su arsenal de exploits”, dijo el investigador de Juniper, Paul Kimayong, en una publicación de blog el jueves.

Los dispositivos Windows y Linux estan siendo atacados por un »

Investigación de enebro

La publicación del jueves enumeró más de una docena de exploits que están siendo atacados por el malware. Están:

Explotar Software
CVE-2023-3129 Laravel
CVE-2023-14882 Oracle Weblogic
CVE-2023-3396 Macro de conector de widgets en Atlassian Confluence Server
CVE-2023-10758 mongo expreso
CVE-2023-0193 apache solr
CVE-2023-9841 Unidad PHP
CVE-2023-12149 Servidor de aplicaciones Jboss
CVE-2023-11610 Supervisor (XML-RPC)
Ejecución de comandos no autenticados de Apache Hadoop a través de YARN ResourceManager (sin CVE) apache hadoop
Fuerza bruta Jenkins Jenkins
Ejecución de comandos de Jupyter Notebook (sin CVE) Servidor de portátiles Jupyter
CVE-2023-7238 Administrador de repositorio Sonatype Nexus
Ejecución del comando de carga de Tomcat Manager Unauth (sin CVE) Administrador de Tomcat
Fuerza bruta de WordPress WordPress

Los exploits que Juniper Research vio anteriormente que usaba el malware son:

  • Mongo Express RCE (CVE-2023-10758)
  • XXL-TRABAJO Unauth RCE
  • XML-RPC (CVE-2023-11610)
  • CVE-2023-16846 (RCE de Saltstack)
  • Piense PHP RCE
  • CVE-2023-7600 (Drupal Ajax RCE)

Entra, el agua es genial

Los desarrolladores también han cambiado los grupos de minería a los que se unen los dispositivos infectados. El minero es una versión del XMRig de código abierto que actualmente extrae los siguientes grupos de minería:

  • Xmr-eu1.nanopool.org:14444
  • f2pool.com:13531
  • minexmr.com:5555

Un grupo de minería es un grupo de mineros de criptomonedas que combinan sus recursos computacionales para reducir la volatilidad de sus ganancias y aumentar las posibilidades de encontrar un bloque de transacciones. Según el sitio de comparación de rentabilidad de grupos mineros PoolWatch.io, los grupos utilizados por Sysrv son tres de los cuatro principales grupos mineros de Monero.

“Combinados, tienen casi el 50 % de la tasa de hash de la red”, escribió Kimayong. “El criterio del actor de amenazas parece ser los mejores grupos de minería con altas tasas de recompensa”.

1657433323 33 Los dispositivos Windows y Linux estan siendo atacados por un »

Investigación de enebro

El beneficio de la minería se deposita en la siguiente dirección de billetera:

49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

Nanopool muestra que la billetera ganó 8 XMR, con un valor aproximado de $1,700, del 1 al 28 de marzo. Está agregando alrededor de 1 XMR cada dos días.

1657433323 485 Los dispositivos Windows y Linux estan siendo atacados por un »

Investigación de enebro

Una amenaza para Windows y Linux por igual

El binario Sysrv es un binario Go de 64 bits que incluye el empaquetador ejecutable UPX de código abierto. Hay versiones tanto para Windows como para Linux. Dos binarios de Windows elegidos al azar fueron detectados por 33 y 48 de los 70 principales servicios de protección contra malware, según VirusTotal. Dos binarios de Linux elegidos al azar tenían seis y nueve.

La amenaza de esta botnet no es solo la presión sobre los recursos informáticos y el consumo no trivial de electricidad. Es casi seguro que el malware que tiene la capacidad de ejecutar un criptominero también puede instalar ransomware y otros productos maliciosos. La publicación del blog del jueves tiene docenas de indicadores que los administradores pueden usar para ver si los dispositivos que administran están infectados.

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Deja un comentario