WatchDog Malware
Los investigadores de Infosec han descubierto una campaña de criptojacking que ha estado funcionando bajo el radar durante más de 2 años en silencio y todavía está operativa. Hasta ahora, los piratas informáticos han logrado violar al menos 476 sistemas Windows y Linux, y han generado aproximadamente 209 monedas de criptomoneda Monero. Los precios de las criptomonedas son notoriamente volátiles, pero al precio actual de Monero, los ciberdelincuentes han acumulado más de $ 30, 000. Si la tendencia al alza se mantiene, el precio de las monedas Monero podría subir más, lo que resultaría en ganancias aún mayores para los piratas informáticos.
El malware desplegado en la campaña se llama WatchDog Malware. Consiste en un conjunto de tres binarios escritos en el lenguaje de programación de código abierto Go y un archivo de script bash o PowerShell. Cada parte del conjunto binario es responsable de realizar una tarea diferente. El archivo del administrador de red se realiza como un escaneo de red y el vector de explotación inicial. A diferencia de las variedades de malware de criptojacking establecidas anteriormente, WatchDog está equipado con una amplia gama de exploits y vulnerabilidades que puede utilizar: 33 exploits específicos, 32 funciones RCE (ejecución remota de código) y varias funciones de captura de shell. Entre los objetivos de la amenaza se encuentran los servidores Elasticsearch y OracleWebLogic vulnerables. WatchDog aprovecha las vulnerabilidades CVE-2015-1427 y CVE-2014-3120 para Elastisearch y CVE-2017-10271 para los servidores Oracle WebLogic.
La segunda parte binaria (phpguard) emula un demonio de vigilancia legítimo y asegura que los sistemas violados no se sobrecarguen ni sufran un error crítico. Puede probar el uso de la memoria, los procesos actualmente activos y el espacio de la tabla de procesos y asegurarse de que todo esté dentro de la norma y evitar que el sistema se reinicie. La última parte de WatchDog (phpupdate) es la carga útil amenazante, una versión del malware de criptominería XMRig.
Hasta ahora, los criminales detrás de la campaña WatchDog se contentan con limitar su operación solo al criptojacking. Sin embargo, los investigadores de infosec advierten que los piratas informáticos podrían escalar el alcance de su ataque rápidamente gracias a los datos de gestión de identidad y acceso (IAM) adquiridos de los sistemas ya vulnerados. Los atacantes podrían aprovechar las credenciales recolectadas para entregar piezas de malware mucho más amenazantes.
