Nueva campaña distribuye malware Cryptocurrency-Mining con lenguaje Go

01 Julio 2019
Medio

Desde mayo la empresa de seguridad “Trend Micro”, ha estado en seguimiento de un malware basado en el lenguaje de programación Go, que se está propagando a través de una campaña que siembra un payload de minería de criptomonedas en servidores vulnerables.

Su infección se esparce a través de un script capaz de detectar vulnerabilidades en:

  • Servidores Redis mal configurados (Redis es un motor de base de datos en memoria que por defecto utiliza el puerto 6379)
  • Servidores ThinkPHP (exploit)
  • Servidores Drupal (exploit)
  • Servidor Atlassian Confluence (CVE-2019-3396)

Por lo tanto, está dirigido principalmente a servidores de ambientes QA y productivos de desarrollo, destacando por estar escrito en un lenguaje sencillo y multiplataforma que no muchos pueden interpretar ya que no se utiliza tan comúnmente para el malware en comparación con otros idiomas.

Además de ejecutar el minero y el escáner, el payload realiza otras acciones de persistencia y movimientos laterales, instalándose como un servicio en el sistema, intentando infectar otros sistemas a través de SSH, deshabilitando las herramientas de seguridad, borrando el historial de comandos y los registros, como también eliminando las actividades de minería de criptomonedas que se encuentran en curso (si las hubiera) bloqueando el tráfico de red y matando sus procesos.

Se recomienda lo siguiente:

Aplicar parches de seguridad y actualizaciones de los servicios que están siendo explotados.

El listado de las CVE se adjunta a continuación:


Tags: #go #golang #cryptominer #malware #criptomonedas #mining #thinkphp #drupal #redis #atlassianconfluence


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.