Los investigadores han descubierto una nueva familia de malware dirigida a los servicios en la nube para extraer criptomonedas.
Apodado CoinStomp, el malware está comprometido con scripts de shell que «intentan explotar instancias de cómputo en la nube alojadas por proveedores de servicios en la nube con el fin de extraer criptomonedas», según Cado Security.
Los investigadores de la firma dicen que el propósito general de CoinStomp es comprometer silenciosamente las instancias para aprovechar el poder de cómputo para extraer criptomonedas ilícitas, una forma de ataque conocida como cryptojacking.
Varios intentos de ataque se han centrado, hasta ahora, en proveedores de servicios en la nube en Asia.
Las pistas en el código también hacían referencia a Xanthe, un grupo de amenazas de cryptojacking vinculado recientemente a la red de bots Abcbot. Sin embargo, la pista, que se encuentra en una URL de carga útil desaparecida, no es suficiente para establecer firmemente quién es responsable de CoinStomp y puede haber sido incluida en «un intento de frustrar la atribución», según el equipo.
CoinStomp tiene una serie de capacidades interesantes. Uno es su dependencia de «timestomping» (la manipulación de las marcas de tiempo ejecutando el comando touch) en los sistemas Linux para actualizar la modificación de archivos y los tiempos de acceso.
«Parece probable que se empleó la marca de tiempo para ofuscar el uso de las utilidades chmod y chattr, ya que las herramientas forenses mostrarían las versiones copiadas de estos archivos binarios como último acceso (ejecutado) en la marca de tiempo utilizada en el comando táctil», señaló Cado Security.
Además, el malware intentará alterar las políticas criptográficas del servidor Linux. Estas políticas pueden evitar que se eliminen o ejecuten ejecutables maliciosos, por lo que el desarrollador de CoinStomp ha incluido funciones para deshabilitar las políticas criptográficas en todo el sistema a través de un comando de eliminación.
«Esto podría deshacer los intentos de los administradores de fortalecer la máquina de destino, asegurando que el malware logre sus objetivos», dicen los investigadores.
CoinStomp luego establecerá una conexión con su servidor de comando y control (C2) a través de un shell inverso. Luego, el script descarga y ejecuta más cargas útiles como servicios systemd en todo el sistema, completo con privilegios de raíz.
Estos incluyen binarios para crear potencialmente puertas traseras y una versión personalizada de XMRig, software legítimo de minería de Monero del que se abusa con fines delictivos.
«CoinStomp demuestra la sofisticación y el conocimiento de los atacantes en el espacio de seguridad en la nube», dice Cado Security. «Emplear técnicas antiforenses y debilitar la máquina de destino mediante la eliminación de políticas criptográficas demuestra no solo un conocimiento de las medidas de seguridad de Linux, sino también una comprensión del proceso de respuesta a incidentes».
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0