Un malware de minería de criptomonedas, relativamente nuevo, que apareció en 2020 e infectó miles de bases de datos de Microsoft SQL Server (MSSQL), ha sido vinculado a una pequeña empresa de desarrollo de software con sede en Irán.
Según investigadores de la empresa de ciberseguridad, Sophos, la atribución fue posible gracias a un descuido de seguridad operativa que hizo que el nombre de la empresa se introdujera inadvertidamente en el código del criptominero.
El gigante tecnológico chino Tencent documentó por primera vez en septiembre pasado que MrbMiner se dirigía a servidores MSSQL con acceso a Internet con el objetivo de instalar un criptominero, que secuestraba la capacidad de procesamiento de los sistemas para minar Monero y canalizarlo hacia cuentas controladas por los atacantes.
El nombre “MrbMiner” proviene de uno de los dominios utilizados por el grupo para alojar su software de minería malicioso. MrbMiner lleva a cabo su tarea, realizando ataques de fuerza bruta contra la cuenta de administrador del servidor MSSQL con varias combinaciones de contraseñas débiles.
Al obtener el acceso, se descarga un troyano llamado “assm.exe” para establecer la persistencia, añadir una cuenta de puerta trasera para futuros accesos (nombre de usuario: Default, contraseña: @fg125kjnhn987) y recuperar la carga útil del minero de criptomonedas Monero (XMR) que se ejecuta en el servidor objetivo.
Según Sophos, estas cargas útiles -denominadas con varios nombres, como sys.dll, agentx.dll y hostx.dll- eran archivos ZIP con nombres deliberados, cada uno de los cuales contenía el binario del minero y un archivo de configuración, entre otros.
Los ataques de criptojacking suelen ser más difíciles de atribuir dada su naturaleza anónima, pero en el caso de MrbMiner, parece que los atacantes cometieron el error de codificar la ubicación de la carga útil y la dirección de comando y control (C2) en el descargador.
Uno de los dominios en cuestión, “vihansoft[.]ir”, no sólo estaba registrado a nombre de la empresa iraní de desarrollo de software, sino que el binario compilado del minero incluido en la carga útil dejaba señales reveladoras que conectaban el malware con una cuenta de GitHub, ahora cerrada, que se utilizaba para alojarlo.
Mientras que los servidores de bases de datos, debido a sus potentes capacidades de procesamiento, son un objetivo lucrativo para los ciberdelincuentes que buscan distribuir mineros de criptomonedas, el desarrollo se suma a la creciente preocupación de que los países fuertemente sancionados como Corea del Norte e Irán están utilizando la criptomoneda como un medio para evadir las sanciones diseñadas para aislarlos y facilitar las actividades ilícitas.
Con información de: Bleeping Computer.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian