El malware minero evade las soluciones de seguridad en la nube

24 enero, 2019
18 Compartido 2,148 Visualizaciones

Las infraestructuras en la nube son un objetivo creciente para los actores de amenazas que buscan explotar la criptomoneda, ya que su vasto poder computacional les permite multiplicar el efecto del malware de minería.

Evitar que se haga notar su presencia el mayor tiempo posible es, naturalmente, un objetivo por el que vale la pena luchar y que los delincuentes están ideando nuevas formas de lograrlo.

Uno de los enfoques, empleado por un grupo de amenazas denominado Rocke, es desinstalar productos de seguridad en la nube basados ​​en agentes antes de descargar el malware de minería y comenzar el proceso de minería. El minero de la moneda apunta a las máquinas y minas de Linux Monero.

Para entregar el malware a las máquinas víctimas, el grupo Rocke explota vulnerabilidades en Apache Struts 2, Oracle WebLogic y Adobe ColdFusion. Una vez que se establece la conexión C2, el malware utilizado por el grupo Rocke descarga el script de shell denominado «a7» a la máquina víctima«, descubrieron los investigadores de Palo Alto Networks.

El script es capaz de muchas cosas: lograr la persistencia a través de cronjobs, eliminar procesos de minería criptográfica que ya se ejecutan en el sistema y bloquear otros programas maliciosos de minería criptográfica, desinstalar productos de seguridad y monitoreo de la nube basados ​​en agentes (de la misma manera que lo haría un administrador), descargar y ejecutando el malware, y ocultando el proceso de minería del sistema operativo.

«Durante nuestro análisis, nos dimos cuenta de que estas muestras utilizadas por el grupo Rocke adoptaron un nuevo código para desinstalar cinco productos de monitoreo y protección de seguridad en la nube diferentes de servidores Linux comprometidos«, anotaron los investigadores .

Los productos-Alibaba Threat Detection Service, Alibaba CloudMonitor, Alibaba Cloud Assistant, Tencent Host Security y Tencent Cloud Monitor – están desarrollados por Tencent Cloud y Alibaba Cloud, dos proveedores líderes de la nube en China.

(Para agregar insulto a la lesión, el malware pasa por el proceso de desinstalación de cada agente siguiendo los pasos descritos en las guías del usuario de las compañías).

¿El comienzo de una nueva tendencia?

Los investigadores esperan que este comportamiento se convierta en una nueva tendencia para el malware diseñado para atacar la infraestructura de la nube pública.

También es más que probable que los atacantes también recurran a la desinstalación de otras plataformas de protección de carga de trabajo en la nube (CWPP), como las de Microsoft o las empresas de ciberseguridad como TrendMicro y Symantec.

«La variante del malware utilizado por el grupo Rocke es un ejemplo que demuestra que la solución de seguridad en la nube basada en agentes puede no ser suficiente para evitar el malware evasivo dirigido a la infraestructura de la nube pública«, concluyeron los investigadores.

Te podría interesar

Descubren vulnerabilidades en SQLite que permiten hackear un iPhone
Actualidad
16 compartido1,035 visualizaciones
Actualidad
16 compartido1,035 visualizaciones

Descubren vulnerabilidades en SQLite que permiten hackear un iPhone

Vicente Ramírez - 21 agosto, 2019

SQLite es el sistema de gestión de bases de datos en el que se guardan los contactos del iPhone. Otros…

Crece el interés de los criminales por los ataques de bajo perfil
Actualidad
19 compartido2,268 visualizaciones
Actualidad
19 compartido2,268 visualizaciones

Crece el interés de los criminales por los ataques de bajo perfil

Mónica Gallego - 10 septiembre, 2018

El resumen de seguridad del primer semestre del año combina los extensos datos de Trend Micro para ofrecer a los…

Google obligada a dejar de escuchar a sus usuarios en Europa tras una fuga de datos
Actualidad
12 compartido1,025 visualizaciones
Actualidad
12 compartido1,025 visualizaciones

Google obligada a dejar de escuchar a sus usuarios en Europa tras una fuga de datos

Vicente Ramírez - 12 agosto, 2019

Las autoridades alemanas obligan a Google a detener temporalmente las revisiones que hace de las grabaciones de audio de sus usuarios y…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.