El malware de criptojacking Pro-Ocean ahora viene con la capacidad de propagarse como un gusano. Además, albergan nuevas tácticas de detección y evasión.
Expertos han identificado una variante de malware actualizada utilizada por la banda de delitos cibernéticos Rocke Group que se dirige a las infraestructuras de la nube con ataques de criptojacking.
El malware se llama Pro-Ocean y se descubrió por primera vez en 2019, ahora se ha reforzado con capacidades de «gusano» y funciones de detección y evasión de rootkits.
Desde el 2018 Rocke Group ha ampliado su orientación a las aplicaciones en la nube, incluidos Apache ActiveMQ, Oracle WebLogic y la tienda de estructura de datos de código abierto Redis, para la minería de Monero. Expertos mencionan que desde que estallaron inicialmente estos ataques, muchas empresas de ciberseguridad han mantenido a Pro-Ocean en su radar. La última actualización de Rocke Group tiene como objetivo eludir estos esfuerzos de detección y mitigación.
Pro-Ocean utiliza una variedad de vulnerabilidades conocidas para apuntar a aplicaciones en la nube. Estos incluyen una falla crítica en Apache ActiveMQ (CVE-2016-3088) y una vulnerabilidad de alta gravedad en Oracle WebLogic (CVE-2017-10271). El malware también se ha detectado apuntando a instancias no seguras de Redis.
Una vez descargado, Pro-Ocean intenta eliminar otros malware y criptomineros, incluidos Luoxk, BillGates, XMRig y Hashfish. Posteriormente mata cualquier proceso que use mucho la CPU, por lo que su minero XMRig puede utilizar el 100 %del de la CPU necesario para sembrar Monero.
El malware se compone de cuatro componentes: un módulo que instala un rootkit y otros servicios maliciosos, un módulo de minería que ejecuta el minero XMRig, un módulo Watchdog que ejecuta dos scripts Bash y un módulo de infección que contiene capacidades de «gusano».
La última característica de «gusano» es una nueva adición para Pro-Ocean. El malware ahora usa un script de infección de Python para recuperar la dirección IP pública de la máquina de la víctima. Lo hace accediendo a un servicio en línea con la dirección «ident.me», que determina las direcciones IP de varios servidores web. Luego, el script intenta infectar todas las máquinas en la misma subred de 16 bits (por ejemplo, 10.0.XX).
Otros grupos de amenazas han adoptado previamente una funcionalidad similar a un gusano en su malware Monero-chugging. Por ejemplo, el gusano cryptomining de TeamTNT se propagó a través de la nube de Amazon Web Services (AWS) y recopiló credenciales en agosto.
También ha agregado capacidades de rootkit mew que ocultan su actividad maliciosa. Estas funciones actualizadas existen en Libprocesshider, una biblioteca para ocultar los procesos utilizados por el malware. Esta biblioteca fue utilizada por versiones anteriores de Pro-Ocean, sin embargo, en la nueva versión, el desarrollador del código ha agregado varios fragmentos de código nuevos a la biblioteca para funciones adicionales.
Por ejemplo, antes de abrir la función libc (libc es una biblioteca de funciones estándar que pueden utilizar todos los programas en C), una función maliciosa determina si el archivo debe ocultarse para ocultar las actividades maliciosas.
Los investigadores dijeron que creen que Rocke Group continuará actualizando activamente su malware, particularmente a medida que la nube crece como un objetivo lucrativo para los atacantes.
Fuente: Threat Post
Para más información ingresar aquí.
Comentarios