El malware minero evade las soluciones de seguridad en la nube

24 enero, 2019
18 Compartido 2,417 Visualizaciones

Las infraestructuras en la nube son un objetivo creciente para los actores de amenazas que buscan explotar la criptomoneda, ya que su vasto poder computacional les permite multiplicar el efecto del malware de minería.

Evitar que se haga notar su presencia el mayor tiempo posible es, naturalmente, un objetivo por el que vale la pena luchar y que los delincuentes están ideando nuevas formas de lograrlo.

Uno de los enfoques, empleado por un grupo de amenazas denominado Rocke, es desinstalar productos de seguridad en la nube basados ​​en agentes antes de descargar el malware de minería y comenzar el proceso de minería. El minero de la moneda apunta a las máquinas y minas de Linux Monero.

Para entregar el malware a las máquinas víctimas, el grupo Rocke explota vulnerabilidades en Apache Struts 2, Oracle WebLogic y Adobe ColdFusion. Una vez que se establece la conexión C2, el malware utilizado por el grupo Rocke descarga el script de shell denominado «a7» a la máquina víctima«, descubrieron los investigadores de Palo Alto Networks.

El script es capaz de muchas cosas: lograr la persistencia a través de cronjobs, eliminar procesos de minería criptográfica que ya se ejecutan en el sistema y bloquear otros programas maliciosos de minería criptográfica, desinstalar productos de seguridad y monitoreo de la nube basados ​​en agentes (de la misma manera que lo haría un administrador), descargar y ejecutando el malware, y ocultando el proceso de minería del sistema operativo.

«Durante nuestro análisis, nos dimos cuenta de que estas muestras utilizadas por el grupo Rocke adoptaron un nuevo código para desinstalar cinco productos de monitoreo y protección de seguridad en la nube diferentes de servidores Linux comprometidos«, anotaron los investigadores .

Los productos-Alibaba Threat Detection Service, Alibaba CloudMonitor, Alibaba Cloud Assistant, Tencent Host Security y Tencent Cloud Monitor – están desarrollados por Tencent Cloud y Alibaba Cloud, dos proveedores líderes de la nube en China.

(Para agregar insulto a la lesión, el malware pasa por el proceso de desinstalación de cada agente siguiendo los pasos descritos en las guías del usuario de las compañías).

¿El comienzo de una nueva tendencia?

Los investigadores esperan que este comportamiento se convierta en una nueva tendencia para el malware diseñado para atacar la infraestructura de la nube pública.

También es más que probable que los atacantes también recurran a la desinstalación de otras plataformas de protección de carga de trabajo en la nube (CWPP), como las de Microsoft o las empresas de ciberseguridad como TrendMicro y Symantec.

«La variante del malware utilizado por el grupo Rocke es un ejemplo que demuestra que la solución de seguridad en la nube basada en agentes puede no ser suficiente para evitar el malware evasivo dirigido a la infraestructura de la nube pública«, concluyeron los investigadores.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

En el punto de mira de los ciberdelincuentes: el 6% de los españoles admite haber sido estafado al reservar sus vacaciones
Actualidad
12 compartido1,449 visualizaciones
Actualidad
12 compartido1,449 visualizaciones

En el punto de mira de los ciberdelincuentes: el 6% de los españoles admite haber sido estafado al reservar sus vacaciones

Vicente Ramírez - 14 junio, 2019

McAfee estudia este fenómeno y sugiere claves para que las vacaciones de verano no se conviertan en una pesadilla. Los…

Empresas líderes aceleran la innovación y el valor de negocio mediante la nube híbrida con Red Hat Integration y tecnología de contenedores
Soluciones Seguridad
18 compartido2,378 visualizaciones
Soluciones Seguridad
18 compartido2,378 visualizaciones

Empresas líderes aceleran la innovación y el valor de negocio mediante la nube híbrida con Red Hat Integration y tecnología de contenedores

Samuel Rodríguez - 7 marzo, 2019

Velocidad, flexibilidad y escalabilidad son las ventajas resultantes de haber adoptado una arquitectura de integración ágil. Red Hat, Inc., el…

Qualys añade detección de malware a su oferta gratuita de 60 días para la protección de puestos de trabajo remotos
Actualidad
7 compartido1,270 visualizaciones
Actualidad
7 compartido1,270 visualizaciones

Qualys añade detección de malware a su oferta gratuita de 60 días para la protección de puestos de trabajo remotos

Aina Pou Rodríguez - 12 junio, 2020

Proporciona una vista continua de vulnerabilidades críticas, errores de configuración y malware para acelerar la reparación Qualys, Inc. (NASDAQ: QLYS), ha anunciado…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.