CryptoSink

En 2019, los investigadores de malware descubrieron una campaña de minería ilícita de criptomonedas llamada CryptoSink. Los atacantes parecen explotar una vulnerabilidad conocida para comprometer los sistemas objetivo. El exploit utilizado en la operación CryptoSink se llama 'CVE-2014-3120' y está relacionado con una versión anterior de la aplicación Elasticsearch. El programa en cuestión es compatible con los sistemas Windows y Linux. Debido a este hecho, los operadores de la campaña CryptoSink han hecho que su amenaza sea compatible con ambos sistemas operativos.

Ganar persistencia

Para comprometer el sistema objetivo, la amenaza CryptoSink inyectará una variante modificada del infame minero de criptomonedas XMRig . Dependiendo de si la amenaza se implementa en un sistema Windows o Linux, ganará persistencia en el host de manera diferente. Para ganar persistencia en una computadora con Windows, la amenaza CryptoSink usaría varios trucos básicos. Sin embargo, cuando la amenaza CryptoSink compromete un sistema Linux, tendrá que utilizar técnicas mucho más complejas para ganar persistencia. Tan pronto como el malware CryptoSink logre infectar un sistema Linux, buscará varias cargas útiles corruptas que ayudarán a los atacantes a obtener acceso de puerta trasera a la máquina. También se informa que la amenaza CryptoSink modifica el comando 'rm', lo que significa que cada vez que se usa este comando, en particular, se ejecutará el malware CryptoSink. De esta manera, incluso si el usuario elimina los archivos vinculados a la actividad de malware CryptoSink, tan pronto como use el comando 'rm', la amenaza se volverá a implementar.

Eliminando competidores

El minero está diseñado para extraer la criptomoneda Monero. La amenaza CryptoSink también es capaz de detectar si hay otro minero de criptomonedas presente en la computadora infectada. Si se detectan mineros competidores, la amenaza CryptoSink intentará detener sus actividades. Sin embargo, el malware CryptoSink no solo elimina a otros mineros que pueden haber comprometido el sistema; se asegura de que si el sistema intenta conectarse a una lista preconfigurada de grupos de minería, el tráfico se redirigirá a '127.1.1.1' inmediatamente. Esto evita que los mineros competidores se conecten a su grupo de minería predeterminado.

La operación CryptoSink es muy avanzada, y eliminar el minero de un host comprometido puede resultar bastante desafiante. Asegúrese de tener instalada una solución antimalware genuina que lo ayudará a eliminar la amenaza CryptoSink.

Tendencias

Mas Visto

Cargando...