Es la primera vez que se ve esta técnica de ataque, dijeron los investigadores de la división 42 de la compañía de seguridad Palo Alto Networks, que han detallado las capacidades técnicas de la campaña.
No es misterio para nadie que el malware de minería de moneda criptográfica sigue siendo una de las mayores amenazas, incluso una de las más comunes, para las maquinas que se encuentran conectadas a Internet, desde los dispositivos de Internet of Things (IoT) hasta las computadoras.
Dos investigadores, Xingyu Jin y Claud Xiao, de la firma de ciberseguridad Palo Alto Networks, publicaron un informe el jueves, diciendo en el cual muestran como un software nocivo, apodado Rocke Group, el cual está apuntando a la infraestructura de nube pública.
Una vez descargado, toma el control administrativo para desinstalar primero los productos de seguridad en la nube y luego inyectar el código que extrae la criptomoneda Monero (XMR).
Es curioso que no son todas las formas de software de seguridad a las que se dirige el malware.
Los investigadores descubrieron que el código malicioso de Rocke inyectó código para desinstalar cinco productos de seguridad en la nube diferentes de los servidores Linux infectados, incluidas las ofertas de los principales proveedores chinos de la nube, Alibaba y Tencent.
Cabe mencionar que el malware sigue los pasos de desinstalación establecidos en los manuales de usuario de los productos, lo cual evidentemente contribuye a no levantar sospechas.
Para hacer su trabajo malicioso, el grupo Rocke explota vulnerabilidades en las aplicaciones Apache Struts 2, Oracle WebLogic y Adobe ColdFusion, y luego descarga un script de shell llamado “a7”. Esto golpea a nuestros mineros criptográficos rivales y oculta los signos de su presencia, así como deshabilita los programas de seguridad.
Un aspecto interesante es que, además de ejecutar el minero, el malware también puede eliminar cualquier otro proceso de cryptojacking que ya esté explotando el objetivo, una táctica común utilizada por aquellos que implementan malware de minería de criptomonedas para erradicar la competencia.
Aun así, lo más preocupante del malware es la capacidad que posee de evadir la detección de los servicios de seguridad de la nube al cerrarlos.
El malware del grupo Rocke fue descubierto por primera vez por el gigante de TI Talos Intelligence Group en Cisco en agosto. En el momento en que el investigador de Talos, David Liebenberg, dijo que Rocke “continuará aprovechando los repositorios de Git para descargar y ejecutar la minería ilícita en las máquinas víctimas”.
[divider]
