Ciberseguridad 360 | Malware mina nube multiplataforma

Los cazadores de amenazas han revelado dos campa�as de malware diferentes que han aprovechado vulnerabilidades y configuraciones incorrectas en entornos cloud para distribuir mineros de criptomonedas.

Los grupos de actividades maliciosas han sido bautizados con los nombres en clave Soco404 y Koske por las empresas de seguridad en la nube Wiz y Aqua, respectivamente.

Soco404 "ataca tanto a sistemas Linux como Windows, desplegando malware espec�fico para cada plataforma", afirman los investigadores de Wiz Maor Dokhanian, Shahar Dorfman y Avigayil Mechtinger. "Utilizan el enmascaramiento de procesos para disfrazar actividades maliciosas como procesos leg�timos del sistema".

La actividad hace referencia al hecho de que las cargas �tiles est�n incrustadas en p�ginas HTML 404 falsas alojadas en sitios web creados con Google Sites. Google ya ha eliminado los sitios falsos.

Wiz plante� que la campa�a, que anteriormente se hab�a observado atacando servicios Apache Tomcat con credenciales d�biles, as� como servidores Apache Struts y Atlassian Confluence susceptibles utilizando la botnet Sysrv, forma parte de una infraestructura de estafa criptogr�fica m�s amplia, que incluye plataformas fraudulentas de comercio de criptomonedas.

Tambi�n se ha descubierto que la �ltima campa�a tiene como objetivo instancias de PostgreSQL accesibles p�blicamente, y que los atacantes tambi�n est�n utilizando servidores Apache Tomcat comprometidos para alojar cargas �tiles adaptadas tanto a entornos Linux como Windows. Los atacantes tambi�n han pirateado un sitio web leg�timo de transporte coreano para distribuir malware.

Una vez obtenido el acceso inicial, se aprovecha el comando SQL COPY ... FROM PROGRAM de PostgreSQL para ejecutar comandos shell arbitrarios en el host y lograr la ejecuci�n remota de c�digo.

"El atacante detr�s de Soco404 parece estar realizando escaneos automatizados en busca de servicios expuestos, con el objetivo de explotar cualquier punto de entrada accesible", afirm� Wiz. "El uso de una amplia gama de herramientas de ingreso, incluidas utilidades de Linux como wget y curl, as� como herramientas nativas de Windows como certutil y PowerShell, pone de manifiesto una estrategia oportunista".

En los sistemas Linux, se ejecuta directamente en la memoria un script de shell dropper para descargar e iniciar una carga �til de siguiente fase, al tiempo que se toman medidas para eliminar los mineros competidores con el fin de maximizar las ganancias econ�micas y limitar la visibilidad forense sobrescribiendo los registros asociados con cron y wtmp.

La carga �til ejecutada en la siguiente etapa es un binario que sirve como cargador para el minero al ponerse en contacto con un dominio externo (www.fastsoco[.]top) basado en Google Sites.

La cadena de ataque para Windows aprovecha el comando inicial posterior a la explotaci�n para descargar y ejecutar un binario de Windows que, al igual que su hom�logo de Linux, funciona como un cargador que incrusta tanto el minero como el controlador WinRing0.sys, este �ltimo utilizado para obtener privilegios NT\SYSTEM.

Adem�s, el malware intenta detener el servicio de registro de eventos de Windows y ejecuta un comando de autodestrucci�n para evadir la detecci�n.

"En lugar de depender de un �nico m�todo o sistema operativo, el atacante lanza una amplia red, utilizando cualquier herramienta o t�cnica disponible en el entorno para entregar su carga �til", afirm� la empresa. "Este enfoque flexible es caracter�stico de una campa�a de miner�a de criptomonedas amplia y automatizada, centrada en maximizar el alcance y la persistencia en diversos objetivos".

El descubrimiento de Soco404 coincide con la aparici�n de una nueva amenaza para Linux denominada Koske, que se sospecha que ha sido desarrollada con la ayuda de un modelo de lenguaje grande (LLM) y que utiliza im�genes aparentemente inocuas de pandas para propagar el malware.

El ataque comienza con la explotaci�n de un servidor mal configurado, como JupyterLab, para instalar varios scripts a partir de dos im�genes JPEG, entre los que se incluyen un rootkit basado en C que se utiliza para ocultar archivos maliciosos relacionados con malware mediante LD_PRELOAD y un script de shell que, en �ltima instancia, descarga mineros de criptomonedas en el sistema infectado. Ambas cargas �tiles se ejecutan directamente en la memoria para evitar dejar rastros en el disco.

El objetivo final de Koske es implementar mineros de criptomonedas optimizados para CPU y GPU que aprovechen los recursos computacionales del host para minar 18 monedas distintas, como Monero, Ravencoin, Zano, Nexa y Tari, entre otras.

"Estas im�genes son archivos pol�glotas, con cargas �tiles maliciosas a�adidas al final. Una vez descargadas, el malware extrae y ejecuta los segmentos maliciosos en la memoria, eludiendo las herramientas antivirus", explic� Assaf Morag, investigador de Aqua.

"Esta t�cnica no es esteganograf�a, sino m�s bien abuso de archivos poliglotas o incrustaci�n de archivos maliciosos. Esta t�cnica utiliza un archivo JPG v�lido con c�digo shell malicioso oculto al final. Solo se descargan y ejecutan los �ltimos bytes, lo que la convierte en una forma enga�osa de abuso poliglota".

Fuente: thehackernews.com