El malware minero evade las soluciones de seguridad en la nube

24 enero, 2019
18 Compartido 1,976 Visualizaciones

Las infraestructuras en la nube son un objetivo creciente para los actores de amenazas que buscan explotar la criptomoneda, ya que su vasto poder computacional les permite multiplicar el efecto del malware de minería.

Evitar que se haga notar su presencia el mayor tiempo posible es, naturalmente, un objetivo por el que vale la pena luchar y que los delincuentes están ideando nuevas formas de lograrlo.

Uno de los enfoques, empleado por un grupo de amenazas denominado Rocke, es desinstalar productos de seguridad en la nube basados ​​en agentes antes de descargar el malware de minería y comenzar el proceso de minería. El minero de la moneda apunta a las máquinas y minas de Linux Monero.

Para entregar el malware a las máquinas víctimas, el grupo Rocke explota vulnerabilidades en Apache Struts 2, Oracle WebLogic y Adobe ColdFusion. Una vez que se establece la conexión C2, el malware utilizado por el grupo Rocke descarga el script de shell denominado “a7” a la máquina víctima“, descubrieron los investigadores de Palo Alto Networks.

El script es capaz de muchas cosas: lograr la persistencia a través de cronjobs, eliminar procesos de minería criptográfica que ya se ejecutan en el sistema y bloquear otros programas maliciosos de minería criptográfica, desinstalar productos de seguridad y monitoreo de la nube basados ​​en agentes (de la misma manera que lo haría un administrador), descargar y ejecutando el malware, y ocultando el proceso de minería del sistema operativo.

Durante nuestro análisis, nos dimos cuenta de que estas muestras utilizadas por el grupo Rocke adoptaron un nuevo código para desinstalar cinco productos de monitoreo y protección de seguridad en la nube diferentes de servidores Linux comprometidos“, anotaron los investigadores .

Los productos-Alibaba Threat Detection Service, Alibaba CloudMonitor, Alibaba Cloud Assistant, Tencent Host Security y Tencent Cloud Monitor – están desarrollados por Tencent Cloud y Alibaba Cloud, dos proveedores líderes de la nube en China.

(Para agregar insulto a la lesión, el malware pasa por el proceso de desinstalación de cada agente siguiendo los pasos descritos en las guías del usuario de las compañías).

¿El comienzo de una nueva tendencia?

Los investigadores esperan que este comportamiento se convierta en una nueva tendencia para el malware diseñado para atacar la infraestructura de la nube pública.

También es más que probable que los atacantes también recurran a la desinstalación de otras plataformas de protección de carga de trabajo en la nube (CWPP), como las de Microsoft o las empresas de ciberseguridad como TrendMicro y Symantec.

La variante del malware utilizado por el grupo Rocke es un ejemplo que demuestra que la solución de seguridad en la nube basada en agentes puede no ser suficiente para evitar el malware evasivo dirigido a la infraestructura de la nube pública“, concluyeron los investigadores.

Te podría interesar

Check Point presenta sus avances en la lucha contra la ciberdelincuencia avanzada en RootedCON
Soluciones Seguridad
34 compartido1,058 visualizaciones
Soluciones Seguridad
34 compartido1,058 visualizaciones

Check Point presenta sus avances en la lucha contra la ciberdelincuencia avanzada en RootedCON

José Luis - 13 marzo, 2018

Gal Elbaz y Eran Vaknin, expertos de seguridad del equipo de investigadores de Check Point, han explicado en el evento…

Cae la organización dedicada a la estafa de las “cartas nigerianas” más activa de España
Actualidad
45 compartido2,843 visualizaciones
Actualidad
45 compartido2,843 visualizaciones

Cae la organización dedicada a la estafa de las “cartas nigerianas” más activa de España

José Luis - 26 junio, 2018

Se han detenido a diez personas en Madrid, Murcia y Málaga, entre los que se encuentra el máximo responsable de…

5 Problemas en ciberseguridad provocados por el uso de teléfonos personales en el trabajo
Actualidad
23 compartido1,681 visualizaciones
Actualidad
23 compartido1,681 visualizaciones

5 Problemas en ciberseguridad provocados por el uso de teléfonos personales en el trabajo

Vicente Ramírez - 17 abril, 2018

El uso del teléfono personal por parte de los empleados a la hora de trabajar, puede acarrear una serie de…

Deje un comentario

Su email no será publicado