Hechos clave:
-
La nueva modalidad de ataque les permite ingresar a computadoras Linux, macOS y Windows.
-
Los servidores Postgre, además, tienen una vulnerabilidad que no permite detectar el malware.
Una nueva modalidad de cryptojacking, práctica también conocida como minería encubierta, ha llegado a azotar a la web para enriquecer a hackers con Monero. Se trata de un bot de minería de criptomonedas detectado por la unidad de ciberseguridad de Palo Alto Networks, quienes aseguran que afecta a los servidores del sistema PostgreSQL y pasa desapercibido ante algunos antivirus.
El malware está siendo inyectado en los computadores de manera remota, ya que los hackers han logrado explotar una función que le permite instalar archivos para minar Monero sin que estos sean detectados.
PostgreSQL es un sistema de gestión de datos relacional orientado a objetos, el cual es comúnmente utilizado en sistemas de gestión de data proactiva (PDMS), para el almacenamiento de archivos, administración de páginas web e incluso redes de ubicación geográfica.
Debido a su constitución de código abierto y a que es gratis, Postgre se ha convertido en el cuarto sistema de administración de datos más popular del mercado. Asimismo, tiene la capacidad de ser utilizado por distintos sistemas operativos, tales como Linux, MacOS y Windows. Esta característica hace que el ataque de los hackers tenga un amplio margen de operación, y podría difundirse con rapidez si no se toman medidas de seguridad.
Los investigadores llamaron al malware “PGMiner”, y según su descripción han logrado explotar una vulnerabilidad de ejecución remota de código (RCE) del sistema PosgreSQL. Los hackers primero hacen contacto con los servidores, conectados siempre desde la red Tor para evitar su rastreo. Cuando logran interceptar el servidor, atacan con fuerza bruta para descifrar la contraseña de autentificación de PostgreSQL, que les concede acceso a todas las funciones del servidor.
Ya dentro del sistema, los hackers pueden hacer uso de una función llamada “Copiar desde el programa”, la cual permite descargar y ejecutar todos sus archivos de minería sin que estos dejen rastro en el computador. Se trata de una función que ya ha generado controversia en el pasado, puesto que permite a un usuario local o remoto ejecutar un script Shell en los sistemas operativos.
Un error ya conocido, pero que ahora se utiliza para minar Monero
El error fue discutido el año pasado al considerarse que representaba un riesgo para la seguridad de los usuarios, pero poco después fue desmerecido ya que no siempre pone en peligro al sistema. Ante esta nueva modalidad de ataques con cryptojacking, Palo Alto Networks recomienda a los desarrolladores de Postgre tomar cartas en el asunto y actualizar esta opción.
Los investigadores afirman que este nuevo bot de minería es el primero de su tipo en ser entregado a través de PostgreSQL. Asimismo, resaltaron que son pocos los sistemas de seguridad que detectan su aparición, estando entre ellos WildFire, FireWall y Threat Prevention.
Aunque los expertos en ciberseguridad lograron encontrar al grupo de minería que estaba utilizando este malware, no pudieron acceder a información sobre cuántas ganancias han generado estos individuos con este nuevo método de minería encubierta.
Lo que sí se sabe es que las técnicas de cryptojacking se están haciendo cada vez más sofisticadas y difíciles de detectar; abundan casos de malwares que pueden secuestrar transacciones mientras minan Monero o casos extorsiones a sus víctimas, tal y como ha reportado CriptoNoticias en el pasado.
