El malware minero evade las soluciones de seguridad en la nube

24 enero, 2019
18 Compartido 2,050 Visualizaciones

Las infraestructuras en la nube son un objetivo creciente para los actores de amenazas que buscan explotar la criptomoneda, ya que su vasto poder computacional les permite multiplicar el efecto del malware de minería.

Evitar que se haga notar su presencia el mayor tiempo posible es, naturalmente, un objetivo por el que vale la pena luchar y que los delincuentes están ideando nuevas formas de lograrlo.

Uno de los enfoques, empleado por un grupo de amenazas denominado Rocke, es desinstalar productos de seguridad en la nube basados ​​en agentes antes de descargar el malware de minería y comenzar el proceso de minería. El minero de la moneda apunta a las máquinas y minas de Linux Monero.

Para entregar el malware a las máquinas víctimas, el grupo Rocke explota vulnerabilidades en Apache Struts 2, Oracle WebLogic y Adobe ColdFusion. Una vez que se establece la conexión C2, el malware utilizado por el grupo Rocke descarga el script de shell denominado “a7” a la máquina víctima“, descubrieron los investigadores de Palo Alto Networks.

El script es capaz de muchas cosas: lograr la persistencia a través de cronjobs, eliminar procesos de minería criptográfica que ya se ejecutan en el sistema y bloquear otros programas maliciosos de minería criptográfica, desinstalar productos de seguridad y monitoreo de la nube basados ​​en agentes (de la misma manera que lo haría un administrador), descargar y ejecutando el malware, y ocultando el proceso de minería del sistema operativo.

Durante nuestro análisis, nos dimos cuenta de que estas muestras utilizadas por el grupo Rocke adoptaron un nuevo código para desinstalar cinco productos de monitoreo y protección de seguridad en la nube diferentes de servidores Linux comprometidos“, anotaron los investigadores .

Los productos-Alibaba Threat Detection Service, Alibaba CloudMonitor, Alibaba Cloud Assistant, Tencent Host Security y Tencent Cloud Monitor – están desarrollados por Tencent Cloud y Alibaba Cloud, dos proveedores líderes de la nube en China.

(Para agregar insulto a la lesión, el malware pasa por el proceso de desinstalación de cada agente siguiendo los pasos descritos en las guías del usuario de las compañías).

¿El comienzo de una nueva tendencia?

Los investigadores esperan que este comportamiento se convierta en una nueva tendencia para el malware diseñado para atacar la infraestructura de la nube pública.

También es más que probable que los atacantes también recurran a la desinstalación de otras plataformas de protección de carga de trabajo en la nube (CWPP), como las de Microsoft o las empresas de ciberseguridad como TrendMicro y Symantec.

La variante del malware utilizado por el grupo Rocke es un ejemplo que demuestra que la solución de seguridad en la nube basada en agentes puede no ser suficiente para evitar el malware evasivo dirigido a la infraestructura de la nube pública“, concluyeron los investigadores.

Te podría interesar

Cyberpedia: CyberPedia: ¿Qué es un Ataque Zero Day?
Actualidad
357 compartido1,099 visualizaciones
Actualidad
357 compartido1,099 visualizaciones

Cyberpedia: CyberPedia: ¿Qué es un Ataque Zero Day?

Redacción - 9 octubre, 2017

El Zero Day o ataque de día cero es como se conoce a aquellos ataques que se basan en vulnerabilidades…

Facebook compra la startup Bloomsbury para hacer frente a problemas de seguridad y ‘fake news’
Actualidad
14 compartido2,039 visualizaciones
Actualidad
14 compartido2,039 visualizaciones

Facebook compra la startup Bloomsbury para hacer frente a problemas de seguridad y ‘fake news’

Mónica Gallego - 9 julio, 2018

Facebook compra Bloomsbury, la startup británica de Inteligencia Artificial que fortalecerá la estrategia de Facebook. Los indicios apuntan a que Facebook…

Los timadores de Google Maps ponen sus propios números de teléfono en las entidades bancarias
IoT
16 compartido2,039 visualizaciones
IoT
16 compartido2,039 visualizaciones

Los timadores de Google Maps ponen sus propios números de teléfono en las entidades bancarias

Mónica Gallego - 17 diciembre, 2018

Google Maps permite a sus usuarios editar y actualizar entradas: crowd-sourcing que ayudó a Google a  introducir muchos detalles en…

Deje un comentario

Su email no será publicado