Home Criptomonedas Nueva campaña de minería de criptomonedas, dirigida a sistemas Linux y dispositivos...

Nueva campaña de minería de criptomonedas, dirigida a sistemas Linux y dispositivos IoT

Los sistemas Linux conectados a Internet y los dispositivos del Internet de las Cosas (IoT) están en el punto de mira de una nueva campaña diseñada para minar criptomonedas de forma ilícita.

Para llevar a cabo el plan, se fuerzan los hosts Linux mal configurados para obtener el acceso inicial, tras lo cual los autores de la amenaza desactivan el historial de shell y obtienen una versión troyanizada de OpenSSH de un servidor remoto.

El paquete OpenSSH falso se configura para instalar y ejecutar la puerta trasera, un script de shell que permite a los atacantes distribuir cargas útiles adicionales y realizar otras actividades posteriores a la explotación.

Esto incluye filtrar información sobre el dispositivo, instalar rootkits de código abierto llamados Diamorphine y Reptile desde GitHub, y tomar medidas para ocultar su actividad borrando los registros que podrían alertar de su presencia.

El implante también busca monopolizar los recursos del sistema infectado eliminando los procesos de minería de criptomonedas que puedan estar ejecutándose en él antes de lanzar su minero.

Además, ejecuta una versión modificada de ZiggyStarTux, un cliente de denegación de servicio distribuido (DDoS) basado en IRC capaz de ejecutar comandos bash emitidos desde el servidor de mando y control (C2). Se basa en otro malware de botnet llamado Kaiten (también conocido como Tsunami).

Según el gigante tecnológico, los ataques aprovechan el subdominio de una institución financiera del sudeste asiático no identificada para las comunicaciones C2 en un intento de disfrazar el tráfico malicioso.

Vale la pena señalar que el modus operandi detallado por Microsoft se solapa con un informe reciente del Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC), que detallaba ataques dirigidos a servidores Linux expuestos con malware de minería de criptomonedas y una variante de la botnet Tsunami apodada Ziggy.

La operación ha sido rastreada hasta un actor llamado asterzeu, que ha puesto a la venta el kit de herramientas en el mercado de malware como servicio. “La complejidad y el alcance de este ataque son indicativos de los esfuerzos que hacen los atacantes para eludir la detección”, dijo Sde-Or.

Según Akamai y la Unidad 42 de Palo Alto Networks, este hecho se produce en un momento en el que múltiples fallos de seguridad conocidos en routers, grabadoras de vídeo digital y otro software de red están siendo explotados activamente por los actores de amenazas para desplegar el malware de la red de bots Mirai.