Un malware multiplataforma basado en Golang convierte a los servidores Windows y Linux en mineros de la criptomoneda Monero. La criptomoneda Monero proporciona una serie de funcionalidades que permiten firmar una transacción sin revelar las direcciones (o claves públicas) de quien envía o recibe monedas, ni del monto involucrado. El acceso a la información exacta sobre dicho monto está disponible únicamente para las partes involucradas en la transacción.
El investigador de seguridad de Intezer, Avigayil Mechtinge, reveló que los atacantes detrás de esta campaña han estado actualizando activamente las capacidades del gusano, que se propaga en sistemas mediante servicios públicos de fuerza bruta (es decir, MySQL, Tomcat, Jenkins y WebLogic) con contraseñas débiles, a través de su servidor de comando y control (C2) desde que se detectó por primera vez, lo que sugiere un malware mantenido activamente.
El gusano se propaga por toda la red para operar XMRig Miner, un minero de criptomonedas monero, a gran escala. Luego, el malware se propaga a otras computadoras (Windows y Linux) mediante la búsqueda y la fuerza bruta de los servicios MySql, Tomcat y Jenkins mediante la propagación de contraseñas y una lista de credenciales codificadas. Se dirige a proveedores con experiencia en la comunidad como MySQL, el panel de administración de Tomcat y Jenkins que tienen contraseñas débiles. En una versión más madura, el gusano también ha intentado explotar la vulnerabilidad más actual de WebLogic: CVE-2020-14882.
El servidor C2 se utiliza para alojar el script de cuentagotas bash o PowerShell (ld.sh para Linux y ld.ps1 para Windows), un gusano binario basado en Golang y el minero XMRig implementado para minar subrepticiamente criptomonedas Monero imposibles de rastrear en dispositivos infectados.
El malware se matará automáticamente si detecta que los sistemas infectados están escuchando en el puerto 52013. Si el puerto no está en uso, el gusano abrirá su propio conector de red.
Se recomienda mantener su software actualizado en todo momento, limitar el acceso desde el internet así como los intentos de inicio de sesión, el uso de doble factor y utilizar contraseñas seguras difíciles de adivinar en todos los servicios expuestos, y de esta manera evitar que los ataques de fuerza bruta lanzados por este nuevo gusano multiplataforma .
Intezer también aboga por utilizar una plataforma de seguridad de la carga de trabajo en la nube para obtener una visibilidad total en tiempo de ejecución por encima del código en el método de la empresa y para recibir alertas sobre cualquier código destructivo o no autorizado.
Más información:
- https://www.bleepingcomputer.com/news/security/new-worm-turns-windows-linux-servers-into-monero-miners/
- https://thecybersecurity.news/general-cyber-security-news/new-golang-worm-turns-windows-and-linux-servers-into-monero-miners-4854/
- https://www.criptonoticias.com/criptopedia/que-es-monero-xmr/