JDWPMiner Mining Trojan

El troyano JDWPMiner Mining es una amenaza de malware descubierta por investigadores de infosec. Este malware en particular es parte de una operación de ataque amenazante que tiene como objetivo la instalación mediante JDWP (Java Debug Wire Protocol). JDWP es el protocolo utilizado para la comunicación entre un depurador y la máquina virtual Java que depura. Los atacantes explotan una vulnerabilidad RCE (ejecución remota de código) para entregar un troyano minero junto con el establecimiento de control sobre el sistema comprometido.

La cadena de ataque

Dado que Java es una parte común del desarrollo de todas las aplicaciones, cualquier vulnerabilidad descubierta podría permitir a los atacantes infectar a una cantidad significativa de víctimas potenciales. En el caso de JDWPMiner, el actor de amenazas busca una instalación donde no se ha cerrado la depuración remota. Los ciberdelincuentes abusan de Java Debug RCE para obtener acceso ilícito y luego entregar binarios de minería. Las cargas útiles se obtienen de una fuente insegura y se utilizan para establecer una operación minera. Posteriormente, los recursos del sistema, principalmente la CPU, se desviarán hacia la minería de una criptomoneda específica. Naturalmente, esto dejaría menos recursos para las operaciones normales llevadas a cabo en los dispositivos infectados, lo que provocaría una reducción de la producción y pérdidas potenciales.

Además, la amenaza agrega una clave a la clave autorizada, que le permite establecer un acceso remoto. Luego, ejecuta cuatro métodos diferentes para rebotar el caparazón y lograr un control total sobre el host. Las víctimas podrían sufrir fugas de datos, pérdida de datos u otros resultados negativos dependiendo de las nefastas intenciones de los atacantes. La amenaza también está equipada con múltiples técnicas de persistencia. Utiliza crontab, cron.d y rc.local para establecer tareas o trabajos programados.

Mitigación

Para evitar que el troyano JDWPMiner se infiltre en su sistema, puede tomar varias precauciones fáciles de implementar. Primero, cierre el puerto JDWP o considere deshabilitarlo desde Internet. Si está realizando la depuración en un entorno de ensayo, asegúrese de deshabilitar el modo de depuración después de completar sus tareas. La desactivación del modo de depuración de Java también ayudará a detener la intrusión de la amenaza.