Nuevos sistemas de orientación de malware Linux basados en shc con Cryptocurrency Miner

hacking

 

Se ha observado un nuevo malware de Linux desarrollado utilizando el compilador de scripts de shell (shc) implementando un minero de criptomonedas en sistemas comprometidos.

“Se presume que después de una autenticación exitosa a través de un ataque de diccionario en servidores SSH Linux administrados inadecuadamente, se instalaron varios programas maliciosos en el sistema objetivo”, dijo el Centro de Respuesta de Emergencia de Seguridad de AhnLab (ASEC) en un informe publicado hoy.

 

SHC permite que los scripts de shell se conviertan directamente en binarios, ofreciendo protecciones contra modificaciones no autorizadas del código fuente. Es análogo a la utilidad BAT2EXE en Windows que se usa para convertir cualquier archivo por lotes a un ejecutable.

Al usar shc para generar archivos ELF, la idea es proteger los comandos de shell maliciosos de ser inspeccionados y potencialmente evitar la detección por parte del software de seguridad, ya que los ejecutables se codifican utilizando el algoritmo RC4.

En una cadena de ataque detallada por la firma de ciberseguridad de Corea del Sur, un compromiso exitoso del servidor SSH conduce al despliegue de un malware descargador shc junto con un DDoS IRC Bot basado en Perl.

El descargador shc posteriormente procede a buscar el software minero XMRig para extraer criptomonedas, con el bot IRC capaz de establecer conexiones con un servidor remoto para obtener comandos para montar ataques distribuidos de denegación de servicio (DDoS).

“Este bot admite no solo ataques DDoS como TCP flood, UDP flood y HTTP flood, sino también varias otras características que incluyen ejecución de comandos, shell inverso, escaneo de puertos y eliminación de registros”, dijeron los investigadores de ASEC.

El hecho de que todos los artefactos de shc downloader se cargaron en VirusTotal desde Corea del Sur sugiere que la campaña se centra principalmente en servidores SSH Linux mal protegidos en el país.

Se recomienda que los usuarios sigan la higiene de contraseñas y roten las contraseñas periódicamente para evitar intentos de fuerza bruta y ataques de diccionario. También se recomienda mantener los sistemas operativos actualizados.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.