Las infraestructuras en la nube son un objetivo creciente para los actores de amenazas que buscan explotar la criptomoneda, ya que su vasto poder computacional les permite multiplicar el efecto del malware de minería.

Evitar que se haga notar su presencia el mayor tiempo posible es, naturalmente, un objetivo por el que vale la pena luchar y que los delincuentes están ideando nuevas formas de lograrlo.

Uno de los enfoques, empleado por un grupo de amenazas denominado Rocke, es desinstalar productos de seguridad en la nube basados ​​en agentes antes de descargar el malware de minería y comenzar el proceso de minería. El minero de la moneda apunta a las máquinas y minas de Linux Monero.

“Para entregar el malware a las máquinas víctimas, el grupo Rocke explota vulnerabilidades en Apache Struts 2, Oracle WebLogic y Adobe ColdFusion. Una vez que se establece la conexión C2, el malware utilizado por el grupo Rocke descarga el script de shell denominado «a7» a la máquina víctima«, descubrieron los investigadores de Palo Alto Networks.

El script es capaz de muchas cosas: lograr la persistencia a través de cronjobs, eliminar procesos de minería criptográfica que ya se ejecutan en el sistema y bloquear otros programas maliciosos de minería criptográfica, desinstalar productos de seguridad y monitoreo de la nube basados ​​en agentes (de la misma manera que lo haría un administrador), descargar y ejecutando el malware, y ocultando el proceso de minería del sistema operativo.

«Durante nuestro análisis, nos dimos cuenta de que estas muestras utilizadas por el grupo Rocke adoptaron un nuevo código para desinstalar cinco productos de monitoreo y protección de seguridad en la nube diferentes de servidores Linux comprometidos«, anotaron los investigadores .

Los productos-Alibaba Threat Detection Service, Alibaba CloudMonitor, Alibaba Cloud Assistant, Tencent Host Security y Tencent Cloud Monitor – están desarrollados por Tencent Cloud y Alibaba Cloud, dos proveedores líderes de la nube en China.

(Para agregar insulto a la lesión, el malware pasa por el proceso de desinstalación de cada agente siguiendo los pasos descritos en las guías del usuario de las compañías).

¿El comienzo de una nueva tendencia?

Los investigadores esperan que este comportamiento se convierta en una nueva tendencia para el malware diseñado para atacar la infraestructura de la nube pública.

También es más que probable que los atacantes también recurran a la desinstalación de otras plataformas de protección de carga de trabajo en la nube (CWPP), como las de Microsoft o las empresas de ciberseguridad como TrendMicro y Symantec.

«La variante del malware utilizado por el grupo Rocke es un ejemplo que demuestra que la solución de seguridad en la nube basada en agentes puede no ser suficiente para evitar el malware evasivo dirigido a la infraestructura de la nube pública«, concluyeron los investigadores.