CoinStomp Malware
CoinStomp es una nueva familia de malware que parece estar diseñada para infectar servicios en la nube y luego usar sus recursos para extraer criptomonedas. Estos ataques se conocen como cryptojacking. Los detalles sobre esta amenaza de malware en particular se revelaron al público en un informe de Cado Security.
Según sus hallazgos, CoinStomp consiste en scripts de shell que intentan explotar instancias de computadoras en la nube que pertenecen a varios proveedores de servicios en la nube.en gran parte. Hasta ahora, la mayoría de los objetivos de CoinStomp han sido proveedores de la nube ubicados en Asia. Los investigadores encontraron una referencia al actor de amenazas de cryptojacking rastreado como Xanthe en una URL de carga útil desaparecida. Sin embargo, este hecho por sí solo no es suficiente para atribuir la amenaza con mucha confianza al grupo ciberdelincuente. Además, es posible que los verdaderos culpables lo hayan dejado como un intento de engañar a los investigadores de seguridad.
Capacidades amenazantes
CoinStomp está equipado con varias técnicas anti-detección. El más destacado gira en torno al "tiempo de pisoteo", un método para manipular las marcas de tiempo a través del comando táctil de Linux. Hacerlo permite a los atacantes ocultar las instancias en las que se usaron las utilidades chmod y chattr.
Además, la amenaza también intentará debilitar el servidor Linux objetivo deteniendo sus políticas criptográficas. El propósito de estas políticas es proteger el sistema de las amenazas de malware que se lanzan y ejecutan en él. Para facilitar las acciones intrusivas del malware CoinStomp, sus creadores agregaron una rutina que usa un comando de eliminación para deshabilitar las políticas criptográficas de todo el sistema.
CoinStomp abre un shell inverso para establecer comunicación con su servidor de comando y control (C2, C&C). Si tienen éxito, los atacantes pueden usar la amenaza para entregar cargas útiles adicionales, incluidos archivos binarios para puertas traseras más potentes y una versión personalizada de XMRig, un software de criptominería de Monero. Las cargas útiles de la próxima etapa se ejecutarán como servicios systemd en todo el sistema y se les otorgarán privilegios de root.
