Por Angel Di Matteo   @shadowargel


El nuevo malware se cuela en los archivos de certificado para pasar oculto a la revisión de firewalls y antivirus, aprovechando el poder de procesamiento de los computadores / servidores para generar fondos en la moneda digital con énfasis en la privacidad de las operaciones.

***

Investigadores en el área de la ciberseguridad identificaron un nuevo malware minero para criptomonedas, el cual se instala en los servidores de aplicaciones empresariales y emplea mecanismos muy sofisticados para permanecer oculto.

Informes detallan que este nuevo malware ya afectó a una víctima importante, siendo este el caso de Oraclela compañía proveedora de servicios y aplicaciones en la nube.

De acuerdo con un reporte recientemente publicado, el malware aprovecha una serie de vulnerabilidades reportadas en un informe publicado por la agencia Trend Micro. En el caso de Oracle, atacó los servidores WebLogic de la empresa e instaló un bot minero que se dedicaba a producir saldos en la criptomoneda Monero.

Los primeros informes asociados con este nuevo malware aparecieron en los foros de SANS ISC InfoSec la semana pasada. Los investigadores de Trend Micro verificaron que dicho exploit fue utilizado para vulnerar la seguridad de los servidores de Oracle.

¿Cómo opera este malware?

En resumen, el malware utiliza un exploit para ejecutar un comando automatizado, con el cual descarga el archivo malicioso que aprovecha la brecha de seguridad y comienza a minar los saldos de la moneda digital.

Para permanecer oculto, el código malicioso se oculta entre los archivos del certificado. Esto ayuda a que el malware pase sin despertar alertas en los firewalls ni en los antivirus.

El malware utiliza una herramienta de decodificación para leer el certificado, así como para cambiar su nombre y extensión a un archivo de actualización. Una vez que se ejecuta dicho archivo, se elimina el de certificado y se descarga otro script automatizado, el cual es el que ejecuta el programa para minar Monero.

Aprovechando los archivos de certificado

Trend Micro informó que el uso de archivos de certificado para ocultar malware ha sido utilizada anteriormente en otros casos. Por su parte, la firma de seguridad Sophos presentó una prueba de concepto, en la que mostraba cómo los documentos de Excel con macros incrustados en los archivos de certificados podían usarse para evadir la detección.

Según los investigadores, los archivos de certificado se consideran normales y, por lo tanto, pueden albergar archivos maliciosos invisibles a cualquier tipo de detección.

Oracle ya publicó una actualización que aborda el vector de ataque del malware. No está claro si los hackers pudieron minar algunos saldos tras perpetuar el ataque.

Parece que la tendencia de los hackers es la de mantener ocultos los malwares mineros en servidores y equipos con mucho poder de procesamiento. La semana pasada, informes detallaron que delincuentes informáticos estaban utilizando algunos sitios web falsos para el comercio de monedas digitales, con los cuales introducían el código malicioso en los computadores de los usuarios.

Fuente: Thenextweb

Versión de Angel Di Matteo / DiarioBitcoin

Imagen principal extraída de Unsplash

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.