MrbMiner

MrbMiner Descripción

Ha salido a la luz una nueva campaña de ataque que distribuye malware de criptominería a servidores Microsoft SQL (MSSQL). Los investigadores descubrieron las actividades de un grupo de hackers previamente desconocido de la división de ciberseguridad de la megacorporación china Tencent. Apodaron a los hackers MrbMiner,   el nombre de uno de los dominios utilizados para alojar el malware. Según los hallazgos de los investigadores, miles de servidores MSSQL ya se han visto comprometidos.

El ataque comienza con los piratas informáticos que buscan servidores MSSQL y luego se abren camino por la fuerza bruta probando numerosas contraseñas débiles contra las credenciales del servidor. Si tiene éxito, la infección se inicia colocando primero un archivo llamado ' assm.exe. 'El malware logra persistencia al mismo tiempo que establece una puerta de enlace para los piratas informáticos al configurar una cuenta de puerta trasera con' Predeterminado 'como nombre de usuario y' @ fg125kjnhn987 'como contraseña.

El objetivo de toda la campaña es entregar malware de minería criptográfica que explota los recursos del sistema para generar monedas Monero (XMR). Al rastrear la billetera de criptomonedas para la variante de malware MSSQL, los investigadores descubrieron que contenía alrededor de 7 monedas XMR o alrededor de $ 630. Sin embargo, el grupo MrbMiner podría estar usando múltiples billeteras diferentes, que es la práctica habitual en los ataques de botnet de criptominería. Además, en el servidor Command-and-Control (C2), se descubrieron dos variantes más del malware: una diseñada para funcionar en servidores Linux, mientras que la otra apunta a sistemas informáticos basados en ARM. El malware de Linux se está implementando activamente ya que la dirección de la billetera ya tenía alrededor de 3.30 monedas de Monero enviadas.