Autom Malware

Autom es el nombre de una campaña de criptominería en curso, detectada por primera vez en 2019. Desde entonces, se han reportado un total de 84 ataques contra los servidores honeypot de los investigadores, cuatro de los cuales ocurrieron en 2021. Estos ataques de cripto minería no se esperan para desacelerar en el próximo año. De hecho, es todo lo contrario. Los expertos informan que los atacantes detrás de la campaña Autom están evolucionando sus métodos, haciendo que las amenazas de malware sean más capaces de evadir los mecanismos de defensa y pasar desapercibidas por las herramientas de análisis antivirus.

Los ataques iniciales de esta campaña involucraron la ejecución de un comando amenazante, una vez que un usuario ejecuta una imagen de vainilla con el nombre "alpine: latest". Esa acción resultó en un script de shell llamado "autom.sh". siendo descargado en el dispositivo. Esta táctica sigue teniendo éxito, ya que la mayoría de las organizaciones confían en las imágenes vanilla oficiales y permiten su uso. Mientras que laEl comando amenazante agregado a la imagen de vainilla dañada apenas ha cambiado con el tiempo, los investigadores de malware han identificado una diferencia en el servidor desde el cual se descarga el script de shell.

Según los informes, la secuencia de ataque aún consiste en el script autom.sh, que permite la creación de una nueva cuenta de usuario llamada "akay". Luego, los privilegios de la cuenta se actualizan a un usuario root, lo que permite a los atacantes ejecutar comandos arbitrarios en la máquina infectada y, eventualmente, explotar los recursos disponibles para extraer criptomonedas.

Una nueva característica agregada recientemente se refiere a la capacidad de permanecer invisible a la detección: elLos scripts amenazantes ahora pueden deshabilitar los mecanismos de seguridad al recuperar un script de shell de minería ofuscado. Este script en particular evita las herramientas de seguridad, ya que está codificado en Base64 cinco veces.

Junto con las vulnerabilidades ya conocidas que los ciberdelincuentes suelen explotar para realizar ataques de minería criptográfica, en las últimas semanas se ha abusado de las fallas de seguridad en la biblioteca de registro Log4j para ejecutar un esquema llamado crypto-jacking, que también involucra secuestrar máquinas con el propósito de minar CRIPTOMONEDAS. Además, se han utilizado incorrectamente algunas vulnerabilidades recientemente descubiertas en Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers y VMware vCenter. Al mismo tiempo, el fabricante de dispositivos de almacenamiento conectado a la red (NAS) QNAP también ha anunciadoRecientemente, el descubrimiento de un malware de minería de criptomonedas que podría ocupar alrededor del 50% del uso total de la CPU.