\n\t![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2018\/12\/criptodivisas200x200_23.png\" "\\"\\"")
Nuevamente los códigos malignos se enmascaran con la minería de criptomenodas, pero lo peculiar en este caso es que el objetivo de ataque son los sistemas operativos en las diversas distribuciones de Linux para lograr una escalada de privilegios en el sistema informático que se ataca. El punto de débil utilizado es un mal muy extendido: la existencia de vulnerabilidades como consecuencia de que no se actualizan los sistemas.\n<\/p>\n
<\/p>\n
\n\tA pesar de la continua caída del valor de las criptomonedas, siguen siendo un objetivo prioritario para los desarrolladores de malware. La empresa rusa de antivirus Dr.Web ha descubierto recientemente un sofisticado minador para la criptomoneda Monero (XMR) que afecta a los sistemas Linux.\n<\/p>\n
\n\tMonero mining malware. (Extraido de CNN)\n<\/p>\n
\n\tPese a que el malware diseñado para sistemas Linux aún no está muy extendido, cada vez se está volviendo más complejo y multifuncional. El malware<\/em> Linux.BtcMine.174<\/a>, comentado en este artículo, es una prueba de ello.\n<\/p>\n \n\tEl fabricante ruso de antivirus Dr.Web<\/em> ha identificado a este malware con un nombre genérico de Linux.BtcMine.174<\/em>. No obstante, este troyano no tiene nada de genérico. Está diseñado para realizar una serie de acciones bien planificadas para garantizar al atacante que cumple con su fin último: minar la criptomoneda Monero.<\/strong>\n<\/p>\n \n\tSe trata de un script de shell<\/em> de más de mil líneas de código, que en primer lugar, trata de ser el primer archivo en ejecutarse al arrancar el sistema<\/strong> Linux. A continuación, busca una carpeta en la que pueda copiarse para trabajar desde ella autorreplicándose y descargándose otros módulos adicionales que amplíen sus funcionalidades.\n<\/p>\n \n\tEl siguiente paso que realiza este troyano es la explotación de las vulnerabilidades CVE-2016-5195<\/em> y CVE-2013-2094<\/em>, para lograr una elevación de privilegios y conseguir los permisos de root<\/strong> con los que hacerse con el control del sistema operativo. De este modo logra configurarse como un demon local<\/em>, llegando a descargarse la utilidad nohup<\/em> en caso de necesitarla.\n<\/p>\n \n\tLlegados a este punto, el Linux.BtcMine.174<\/em> ya ha logrado hacerse con el control del equipo infectado. A continuación, procede con la ejecución de su función principal: la minería de criptomonedas<\/strong>. Para optimizar la explotación del huésped comienza escaneando el sistema para eliminar todo malware rival que pudiera estar ya operando, y luego descarga e inicia su propia infraestructura de minería de Monero.\n<\/p>\n \n\tAl mismo tiempo descarga y ejecuta en paralelo otro malware, llamado Trojan.Linux.BillGates<\/a>, un troyano capaz de realizar ataques DDoS<\/em> entre otras funciones típicas<\/a> de la familia Backdoor<\/em>. Y para evitar su detección por parte del usuario, también busca procesos asociados con soluciones antivirus basadas en Linux, deteniéndolos al igual que hiciera previamente con el malware rival. Hasta ahora, los investigadores de Dr.Web<\/em> han identificado como procesos antivirus susceptibles de ser interrumpidos por este malware: safedog, aegis, yunsuo, clamd, avast, avgd, cmdmgd, drweb-configd, drweb-spider-kmod, esets y xmirrord.<\/em>\n<\/p>\n \n\tLa siguiente fase del ataque consiste en descargarse y ejecutar un rootkit<\/em>, y agregarse como una entrada de ejecución automática a archivos como \/etc\/cron.hourly, \/etc\/rc.local, \/etc\/rc.d\/<\/em>,… Todo ello para robar las contraseñas ingresadas por el usuario con el comando su y ocultar sus archivos dentro del sistema de archivos, conexiones de red y procesos en ejecución. Además, el malware<\/em> recopilará información sobre los servidores remotos a los que el huésped se haya conectado a través de SSH<\/em> con el objeto de intentar acceder a los mismos para continuar con su propagación.\n<\/p>\n \n\tGracias a esta estrategia de robo de credenciales SSH válidas<\/em>, el Linux.BtcMine.174<\/em> es capaz de autopropagarse por esta vía a la vez que dificulta la tarea de los administradores de sistema Linux para proteger adecuadamente las conexiones SSH<\/em>, puesto que basta con que el malware<\/em> infecte un host<\/em>autorizado para saltarse dicha protección.\n<\/p>\n \n\tFuente: Segurmática.<\/p>\n Nuevamente los códigos malignos se enmascaran con la minería de criptomenodas, pero lo peculiar en este caso es que el objetivo de ataque son los sistemas operativos en las diversas distribuciones de Linux para lograr una escalada de privilegios en … Sigue leyendo \n\tMás información:<\/strong>\n<\/div>\n\n
Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"