-
El malware desinstala cinco diferentes productos de protecciรณn de TencentCloud y Alibaba Cloud.
-
El principal objetivo es la minerรญa oculta de Monero en los dispositivos infectados.
Un equipo de investigadores cibernรฉticos de Unit 42 de Palo Alto Networks descubriรณ un nuevo malware capaz de inhabilitar la protecciรณn de la infraestructura en la nube pรบblica que utiliza servidores Linux, para realizar minerรญa oculta de monero (XMR). La informaciรณn se difundiรณ este jueves 17 de enero a travรฉs de la pรกgina web oficial de Unit 42.
De acuerdo con el reporte, firmado por los especialistas Xingyu Jin y Claud Xiao, el software malicioso se vincula al actor de amenazas cibernรฉticas, presuntamente de China, conocido como grupo Rocke. Los investigadores se basaron en la evaluaciรณn de muestras de malware recolectadas en el octubre de 2018.
El anรกlisis revelรณ que el malware ahora puede โdesinstalar cinco diferentes productos de monitoreo y protecciรณn de seguridad en la nubeโ, para minar criptomonedas sin ser detectado. Los productos mencionados en el informe fueron desarrollados por Tencent Cloud y Alibaba Cloud, dos compaรฑรญas establecidas en China con importante alcance en el negocio de almacenamiento en la nube.
El malware ataca obteniendo primero los privilegios completos de administrador de los host y luego procede a seguir los pasos de desinstalaciรณn de los programas de seguridad, proporcionados por las propias compaรฑรญas de almacenamiento en la nube en sus manuales de usuario. โSegรบn lo que sabemos, esta es la primera familia de malware que desarrollรณ la capacidad รบnica de apuntar y eliminar productos de seguridad en la nubeโ, sostienen Xingyu Jin y Claud Xiao en su informe.
Los dispositivos vรญctimas de este malware son los servidores Linux, blanco usual del grupo Rocke. Los creadores del sistema malicioso aprovechan vulnerabilidades en Apache Struts 2, Oracle WebLogic y Adobe ColdFusion, para descargar un script llamado โa.7โ. Este software elimina otros procesos de criptominerรญa que se estรฉn ejecutando previamente en el dispositivo y bloquea el acceso a nuevos malware de cryptojacking. Ademรกs, se vale del minero UPX para ejecutar la minerรญa oculta de monero (XMR)ย .
El malware del Grupo Rocke fue descubierto por primera vez en julio de 2018 por Cisco Talos, un equipo de inteligencia dedicado a la detecciรณn de amenazas cibernรฉticas. Segรบn David Liebenberg, analista de la firma, el actorย Rocke se concentra en la minerรญa de Monero.
El reporte seรฑala que Unit 42 de Palo Alto Networks estรก trabajando conjuntamente con Tencent Cloud y Alibaba Cloud para solucionar los efectos de este malware. Sin embargo, los investigadores creen que es posible que mรกs ataques de esta naturaleza se reproduzcan en el futuro.
A finales del aรฑo pasado, una investigaciรณn de McAfee Labs reportรณ un incremento de 4.000%ย en la proliferaciรณn de malware de criptominerรญa. Tambiรฉn se divulgรณ una vulnerabilidad en los routers MikroTik, que a principios de diciembre ya habรญa comprometido 415 mil dispositivos con malware de minerรญa maliciosa.
Imagen destacada por Gorodenkoff /stock.adobe.com
