Se ha informado de una nueva campaña de malware que tiene como objetivo la minería de criptomonedas en sistemas Linux comprometidos a través de servidores Redis. La empresa de seguridad en la nube Cado detectó la campaña después de identificar una serie de comandos inusuales en sus honeypots de Redis. Según el informe técnico, los atacantes utilizan una serie de técnicas novedosas de debilitamiento del sistema contra el almacenamiento de datos.
El malware responsable se llama Migo y es un binario Golang ELF que cuenta con ofuscación en tiempo de compilación y capacidad de persistir en las máquinas Linux. Después de desactivar opciones de configuración, los atacantes crean dos claves Redis que apuntan a una clave SSH controlada por el atacante y un trabajo cron que recupera la carga útil primaria maliciosa de un servicio de transferencia de archivos llamado Transfer.sh.
El binario ELF descarga un instalador XMRig alojado en GitHub y establece persistencia. También deshabilita SELinux y busca scripts de desinstalación para agentes de monitoreo en instancias de proveedores de servicios en la nube. Además, despliega una versión modificada del rootkit de modo de usuario libprocesshider para ocultar procesos y artefactos en disco.
Se cree que los actores detrás de esta campaña de cryptojacking son los mismos que utilizan tácticas similares, como TeamTNT, WatchDog, Rocke y actores de amenazas asociados con el malware SkidMap. El malware Migo parece ser una mejora en la capacidad de los atacantes de explotar servicios basados en la web y demuestra su enfoque en la nube.
Este informe destaca la necesidad de una seguridad sólida para proteger los sistemas Linux de los ataques de cryptojacking. Los administradores de sistemas deben estar actualizados con las últimas técnicas de debilitamiento y tomar medidas para proteger sus sistemas contra la explotación malintencionada. En resumen, se debe prestar atención a las defensas de seguridad y estar alerta ante cualquier señal de actividad sospechosa.
Vía The Hacker News
