La división de ciberseguridad de AT&T desglosa la amenaza de los mineros de Cripto a los servidores de correo electrónico.

Alien Labs de AT&T está incursionando en el análisis de malware de criptominería con un nuevo análisis tecnológico de cómo un minero de Monero se infiltra en las redes.

Publicado el jueves, elinforme El investigador de seguridad Fernando Domínguez ofrece un tutorial paso a paso sobre cómo un cryptojacker de perfil bajo infecta y se propaga a través de servidores vulnerables de Exim, Confluence y WebLogic, instalando código malicioso que extrae Monero a través de un proxy. Los servidores de Exim representan más de la mitad de todos los servidores de correo electrónico, según... ZDNet.

El gusano primero inyecta en los servidores objetivo un script BASH que busca y elimina los procesos de minería rivales antes de intentar infiltrarse en otras máquinas conocidas de la red. Criptomineros.A menudo matan a los mineros competidores cuando infectan un sistema, y ​​por una razón muy simple: cuanto más CPU consume un proceso diferente, menos queda para los demás, según el informe.

Los servidores violados luego descargan la carga útil del script: una “omelette” (como se denomina la variable del archivo ejecutable descargado) basada en el minero de Monero de código abierto llamado XMRig.

Disponible en GitHub, XMRig es un malware favorito de los hackers y un componente básico común en el arsenal de los cryptojackers. Se ha adaptado aMineros de MacBook,Extendido a través de500.000 computadoras y, en 2017, se volvió tan popular que los informes de minería maliciosaaumentó más de 400por ciento.

Este minero modificado opera mediante un proxy, según AT&T Alien Labs. Esto hace que rastrear los fondos, o incluso averiguar la dirección de la billetera, sea casi imposible sin acceso al servidor proxy.

Freír esta tortilla es difícil. Al descargarse, también se descarga otro archivo llamado "sesame", idéntico al script BASH original. Esta es la clave de la persistencia del gusano: se conecta a una tarea cron con un intervalo de cinco minutos, lo que le permite resistir intentos de eliminación y apagados del sistema. Incluso puede actualizarse automáticamente con nuevas versiones.

AT&T Alien Labs comenzó a seguir el gusano en junio de 2019. Anteriormente había sido estudiado por la firma de análisis de seguridad en la nube Lacework en julio.

Los investigadores T la magnitud de este minero de Monero anónimo. El informe de Alien Labs admite que «es difícil estimar cuántos ingresos ha reportado esta campaña al actor de la amenaza», pero señala que la campaña «no es muy grande».

De todos modos, sirve como recordatorio para todos los operadores de servidores: KEEP siempre su software parcheado y actualizado.