-
La nueva modalidad de ataque les permite ingresar a computadoras Linux, macOS y Windows.
-
Los servidores Postgre, ademรกs, tienen una vulnerabilidad que no permite detectar el malware.
Una nueva modalidad de cryptojacking, prรกctica tambiรฉn conocida como minerรญa encubierta, ha llegado a azotar a la web para enriquecer a hackers con Monero. Se trata de un bot de minerรญa de criptomonedas detectado por la unidad de ciberseguridad de Palo Alto Networks, quienes aseguran que afecta a los servidores del sistema PostgreSQL y pasa desapercibido ante algunos antivirus.
El malware estรก siendo inyectado en los computadores de manera remota, ya que los hackers han logrado explotar una funciรณn que le permite instalar archivos para minar Monero sin que estos sean detectados.
PostgreSQL es un sistema de gestiรณn de datos relacional orientado a objetos, el cual es comรบnmente utilizado en sistemas de gestiรณn de data proactiva (PDMS), para el almacenamiento de archivos, administraciรณn de pรกginas web e incluso redes de ubicaciรณn geogrรกfica.
Debido a su constituciรณn de cรณdigo abierto y a que es gratis, Postgre se ha convertido en el cuarto sistema de administraciรณn de datos mรกs popular del mercado. Asimismo, tiene la capacidad de ser utilizado por distintos sistemas operativos, tales como Linux, MacOS y Windows. Esta caracterรญstica hace que el ataque de los hackers tenga un amplio margen de operaciรณn, y podrรญa difundirse con rapidez si no se toman medidas de seguridad.
Los investigadores llamaron al malware โPGMinerโ, y segรบn su descripciรณn han logrado explotar una vulnerabilidad de ejecuciรณn remota de cรณdigo (RCE) del sistema PosgreSQL. Los hackers primero hacen contacto con los servidores, conectados siempre desde la red Tor para evitar su rastreo. Cuando logran interceptar el servidor, atacan con fuerza bruta para descifrar la contraseรฑa de autentificaciรณn de PostgreSQL, que les concede acceso a todas las funciones del servidor.
Ya dentro del sistema, los hackers pueden hacer uso de una funciรณn llamada โCopiar desde el programaโ, la cual permite descargar y ejecutar todos sus archivos de minerรญa sin que estos dejen rastro en el computador. Se trata de una funciรณn que ya ha generado controversia en el pasado, puesto que permite a un usuario local o remoto ejecutar un script Shell en los sistemas operativos.
Un error ya conocido, pero que ahora se utiliza para minar Monero
El error fue discutido el aรฑo pasado al considerarse que representaba un riesgo para la seguridad de los usuarios, pero poco despuรฉs fue desmerecido ya que no siempre pone en peligro al sistema. Ante esta nueva modalidad de ataques con cryptojacking, Palo Alto Networks recomienda a los desarrolladores de Postgre tomar cartas en el asunto y actualizar esta opciรณn.
Los investigadores afirman que este nuevo bot de minerรญa es el primero de su tipo en ser entregado a travรฉs de PostgreSQL. Asimismo, resaltaron que son pocos los sistemas de seguridad que detectan su apariciรณn, estando entre ellos WildFire, FireWall y Threat Prevention.
Aunque los expertos en ciberseguridad lograron encontrar al grupo de minerรญa que estaba utilizando este malware, no pudieron acceder a informaciรณn sobre cuรกntas ganancias han generado estos individuos con este nuevo mรฉtodo de minerรญa encubierta.
Lo que sรญ se sabe es que las tรฉcnicas de cryptojacking se estรกn haciendo cada vez mรกs sofisticadas y difรญciles de detectar; abundan casos de malwares que pueden secuestrar transacciones mientras minan Monero o casos extorsiones a sus vรญctimas, tal y como ha reportado CriptoNoticias en el pasado.ย