Los investigadores han descubierto un bot de malware que infecta servidores basados en Linux y dispositivos conectados con un cryptominer que parece transferir fondos a los operadores de un sitio web chino de estafas para hacer dinero.
Según una publicación de blog del 26 de junio de Trend Micro , el bot está asociado con una dirección IP que está configurada para buscar puertos pertenecientes al protocolo Secure Shell (SSH) y dispositivos de Internet de las cosas (IoT). Sin embargo, en el ataque observado, los dispositivos enfocados en bot se comunicaban con el puerto 22 basado en SSH, específicamente aquellos con un puerto abierto y explotable de protocolo de escritorio remoto (RDP).
Al descubrir un dispositivo vulnerable, el bot ejecuta un comando wget para descargar el script "mservice_2_5.sh" de un sitio web malicioso a un directorio que instala el malware cryptojacking. El nombre de dominio de este sitio web, escrito en chino transcrito, se traduce en "ganar dinero todo el tiempo", explican los autores e investigadores de la publicación de blog Jindrich Karasek y Loseway Lu.
Trend Micro identificó el dominio como un sitio de estafa financiera al cual las monedas de Monero y Ethereum son canalizadas por el cryptominer, llamado YiluzhuanqianSerd. Los usuarios son engañados para que instalen al minero mediante tácticas de ingeniería social, continúa el informe.
"Los atacantes aquí parecen ir más allá para encubrir una operación minera con un sitio aparentemente fraudulento", escriben Karasek y Lu. "Aún así, el efecto adverso permanece: la extracción subrepticia de criptomonedas en los dispositivos de los usuarios consume cantidades considerables de electricidad y agota el poder de cómputo".
Aunque el sitio web chino parece lo suficientemente inocente a primera vista, en realidad contiene un blog y una página de video tutorial que detalla la operación minera maliciosa. E incluso si su enlace fuera bloqueado, "el atacante puede simplemente cambiar a otro dominio para continuar las operaciones sin perder el potencial sitio de estafa", explica la publicación del blog.
Trend Micro además señala que antes de descargar el minero, el bot malicioso contiene un mecanismo de persistencia básico agregado en su secuencia de comandos del instalador y configura los dispositivos Linux de tal manera que aumentan su poder computacional, lo que aumenta los lances mineros.
"El uso de botnets es quizás una de las formas más frecuentes para los atacantes que buscan abusar del IoT para su propio beneficio", afirma la publicación del blog. "Un único dispositivo comprometido puede no ser lo suficientemente potente, pero cuando el malware se propaga de manera habilitada por bots, un ejército de zombis mineros podría resultar lucrativo en el futuro".
TRADUCIDO POR : @CRYPTORAMBO
FUENTE INFORMATIVA ORIGINAL: https://goo.gl/5DXK3b