Un script para minar Monero se está extendiendo utilizando una vulnerabilidad de ejecución remota de comando
Parecía cuestión de tiempo para que estos ataques se presentaran en la práctica, y ya ha sucedido. Acorde a reportes de especialistas en hacking ético, un conocido actor malicioso ha montado una gran campaña para minar criptomoneda utilizando la vulnerabilidad de ejecución remota de código presente en Apache Struts 2 recientemente divulgada. En esta campaña se utiliza un malware persistente y sigiloso denominado CroniX, el nombre del malware proviene del hecho de que usa la herramienta Cron para persistencia y Xhide para lanzar ejecutables con nombres de procesos falsos.
La vulnerabilidad de Apache Struts 2 (CVE-2018-11776) fue revelada hace un par de semanas. Especialistas en hacking ético han advertido que esta tiene el potencial de provocar aún más estragos que el robo de datos a Equifax del año pasado, provocado también por una vulnerabilidad en Apache Struts 2 (CVE-2017-5638).
La nueva campaña utiliza uno de los exploits de prueba de concepto que se publicaron en Github2 y Twitter pocos días después de que se hiciera pública la vulnerabilidad. Los atacantes lo usan para obtener capacidades remotas de ejecución de código no autenticadas en máquinas Linux específicas con el fin de instalar un script de minería de Monero.
Al igual que con muchas otras vulnerabilidades de Apache Struts 2, CVE-2018-11776 permite a los atacantes inyectar expresiones de Lenguaje de Navegación de Objeto-Gráfico (OGNL), que pueden contener código Java malicioso. Esta vez, el punto de inyección está dentro de la URL, el atacante envía una única solicitud HTTP al tiempo que inyecta una expresión OGNL que, una vez evaluada, ejecuta comandos de shell para descargar y ejecutar un archivo malicioso.
Analizando el malware a detalle, los expertos en hacking ético notaron que el malware descarga un archivo llamado “H”, que resulta ser una herramienta antigua de XHide para lanzar ejecutables con un nombre de proceso falso. En este caso, lanza una bifurcación del minero XMRig Monero, con una configuración incrustada (grupo, nombre de usuario y contraseña), mientras cambia el nombre del proceso a “java”, para no generar sospechas.
Los expertos también notaron que tres procesos de Cron se usan para la persistencia, y dos de ellos refrescan el backdoor todos los días con descargas del servidor C2. Otro proceso descarga un archivo diario llamado “anacrond”, que se guarda en varios archivos de trabajo de Cron en todo el sistema. En los tres casos, los scripts se usan para conectarse al servidor C2 y descargar el guión bash de implementación para reiniciar el proceso de minería; las versiones anteriores de los scripts se eliminan del sistema.
CroniX también es un malware competitivo, ya que localiza y elimina los binarios de cualquier criptominero previamente instalado para reclamar todos los recursos de la CPU.
Si bien el minado de criptomoneda puede parecer menos perjudicial que otros ciberataques como el malware limpiador, el ransomware o el robo masivo de datos (todos los cuales pueden llevarse a cabo explotando esta vulnerabilidad), especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética señalan que el desarrollo de exploits tiende a ser más rápido para las vulnerabilidades más ampliamente incrustados, destacando la importancia de solucionar este problema en particular de inmediato.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
